Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • La falla de seguridad del complemento LiteSpeed ​​Cache de WordPress expone los sitios a ataques XSS
  • Tecnología

La falla de seguridad del complemento LiteSpeed ​​Cache de WordPress expone los sitios a ataques XSS

teknomers 4 de Ekim de 2024 (Last updated: 4 de Ekim de 2024) 4 minutes read
La falla de seguridad del complemento LiteSpeed ​​Cache de WordPress


04 de octubre de 2024Ravie LakshmananSeguridad/vulnerabilidad del sitio web

Se ha revelado una nueva falla de seguridad de alta gravedad en el complemento LiteSpeed ​​Cache para WordPress que podría permitir a actores maliciosos ejecutar código JavaScript arbitrario bajo ciertas condiciones.

El defecto, rastreado como CVE-2024-47374 (Puntuación CVSS: 7,2), se ha descrito como un script almacenado entre sitios (XSS) vulnerabilidad que afecta a todas las versiones del complemento hasta la 6.5.0.2 inclusive.

Se solucionó en la versión 6.5.1 el 25 de septiembre de 2024, luego de la divulgación responsable por parte del investigador de Patchstack Alliance, TaiYou.

“Podría permitir que cualquier usuario no autenticado robe información confidencial para, en este caso, escalar privilegios en el sitio de WordPress mediante la realización de una única solicitud HTTP”, Patchstack dicho en un informe.

Ciberseguridad

La falla surge de la manera en que el complemento, el valor del encabezado HTTP “X-LSCACHE-VARY-VALUE”, se analiza sin una desinfección adecuada y sin escape de salida, lo que permite la inyección de scripts web arbitrarios.

Dicho esto, vale la pena señalar que las configuraciones de optimización de página “Combinar CSS” y “Generar UCSS” son necesarias para permitir que el exploit tenga éxito.

También llamados ataques XSS persistentes, estas vulnerabilidades permiten almacenar un script inyectado de forma permanente en los servidores del sitio web de destino, como en una base de datos, en un foro de mensajes, en un registro de visitantes o en un comentario.

Esto hace que el código malicioso incrustado en el script se ejecute cada vez que un visitante desprevenido del sitio llega al recurso solicitado, por ejemplo, la página web que contiene el comentario especialmente diseñado.

Los ataques XSS almacenados pueden tener consecuencias graves, ya que podrían utilizarse como arma para generar vulnerabilidades basadas en navegadores, robar información confidencial o incluso secuestrar la sesión de un usuario autenticado y realizar acciones en su nombre.

El escenario más dañino es cuando la cuenta de usuario secuestrada es la de un administrador del sitio, lo que permite que un actor de amenazas tome el control total del sitio web y realice ataques aún más poderosos.

Los complementos y temas de WordPress son una vía popular para los ciberdelincuentes que buscan comprometer sitios web legítimos. Dado que LiteSpeed ​​Cache cuenta con más de seis millones de instalaciones activas, las fallas en el complemento representan una superficie de ataque lucrativa para ataques oportunistas.

El último parche llega casi un mes después de que los desarrolladores del complemento abordaran otra falla (CVE-2024-44000, puntuación CVSS: 7,5) que podría permitir a usuarios no autenticados tomar el control de cuentas arbitrarias.

Ciberseguridad

También sigue la divulgación de una falla crítica de inyección de SQL sin parchear en el complemento TI WooCommerce Wishlist (CVE-2024-43917, puntuación CVSS: 9.8) que, si se explota con éxito, permite a cualquier usuario ejecutar consultas SQL arbitrarias en la base de datos del sitio de WordPress.

Otra vulnerabilidad de seguridad crítica se refiere al complemento de WordPress Jupiter X Core (CVE-2024-7772, puntuación CVSS: 9,8) que permite a atacantes no autenticados cargar archivos arbitrarios en el servidor del sitio afectado, lo que podría provocar la ejecución remota de código.

Se ha solucionado en la versión 4.7.8, junto con una falla de omisión de autenticación de alta gravedad (CVE-2024-7781, puntuación CVSS: 8.1) que “hace posible que atacantes no autenticados inicien sesión como el primer usuario en iniciar sesión”. con una cuenta de redes sociales, incluidas cuentas de administrador”, Wordfence dicho.

¿Encontró interesante este artículo? Síguenos en Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: El primer avión con holandeses procedentes del Líbano aterrizó en Eindhoven
Next: Merih Demiral: Después de un escándalo "saludo del lobo" – Estatua erigida para los jugadores.

Related Stories

Volkswagen podría producir coches chinos en Alemania: un tabú acaba
  • Tecnología

Volkswagen podría producir coches chinos en Alemania: un tabú acaba de romperse

teknomers 5 de Temmuz de 2026
Aire acondicionado portátil o ventilador: el cálculo de la compra
  • Tecnología

Aire acondicionado portátil o ventilador: el cálculo de la compra

teknomers 5 de Temmuz de 2026
Copa Mundial de la FIFA 2026: una hacker accede a
  • Tecnología

Copa Mundial de la FIFA 2026: una hacker accede a los flujos de transmisión

teknomers 5 de Temmuz de 2026

You May Have Missed

Densa y negra humo, fuerte olor a plástico quemado: un
  • General

Densa y negra humo, fuerte olor a plástico quemado: un incendio en Grecia devasta dos fábricas

teknomers 5 de Temmuz de 2026
  • General

La psicología afirma que las personas que reportan contacto con alienígenas no están necesariamente mintiendo o soñando; sus cerebros pueden estar creando experiencias que se sienten externamente reales.

teknomers 5 de Temmuz de 2026
  • Deporte

Campeonato de Naciones: Gales se prepara para enfrentar desafiantes pruebas en Argentina y Sudáfrica

teknomers 5 de Temmuz de 2026
  • General

Trump celebra el 250 aniversario de Estados Unidos con un mensaje patriótico, un llamado contra el comunismo y la promesa de que el país ‘siempre estará en la cima’

teknomers 5 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.