Une nouvelle faille de sécurité de haute gravité a été révélée dans le plugin LiteSpeed Cache pour WordPress, qui pourrait permettre à des acteurs malveillants d’exécuter du code JavaScript arbitraire sous certaines conditions.
La faille, suivie comme CVE-2024-47374 (score CVSS : 7,2), a été décrit comme un script intersite stocké (XSS) vulnérabilité impactant toutes les versions du plugin jusqu’à la 6.5.0.2 incluse.
Ce problème a été résolu dans la version 6.5.1 le 25 septembre 2024, suite à une divulgation responsable par TaiYou, chercheur de Patchstack Alliance.
“Cela pourrait permettre à tout utilisateur non authentifié de voler des informations sensibles et, dans ce cas, d’élever ses privilèges sur le site WordPress en effectuant une seule requête HTTP”, Patchstack dit dans un rapport.
La faille provient de la manière dont la valeur d’en-tête HTTP “X-LSCACHE-VARY-VALUE” du plugin est analysée sans nettoyage adéquat et sans échappement de sortie, permettant ainsi l’injection de scripts Web arbitraires.
Cela dit, il convient de souligner que les paramètres d’optimisation de page « CSS Combine » et « Generate UCSS » sont requis pour permettre à l’exploit de réussir.
Également appelées attaques XSS persistantes, de telles vulnérabilités permettent de stocker en permanence un script injecté sur les serveurs du site cible, comme dans une base de données, dans un forum de messages, dans un journal de visiteur ou dans un commentaire.
Cela provoque l’exécution du code malveillant intégré dans le script chaque fois qu’un visiteur du site sans méfiance atterrit sur la ressource demandée, par exemple la page Web contenant le commentaire spécialement conçu.
Les attaques XSS stockées peuvent avoir de graves conséquences, car elles pourraient être utilisées pour diffuser des exploits basés sur le navigateur, voler des informations sensibles ou même détourner la session d’un utilisateur authentifié et effectuer des actions en son nom.
Le scénario le plus dommageable est celui où le compte utilisateur piraté est celui d’un administrateur de site, permettant ainsi à un acteur malveillant de prendre complètement le contrôle du site Web et de lancer des attaques encore plus puissantes.
Les plug-ins et thèmes WordPress constituent un moyen populaire pour les cybercriminels cherchant à compromettre des sites Web légitimes. Avec LiteSpeed Cache comptant plus de six millions d’installations actives, les failles du plugin constituent une surface d’attaque lucrative pour les attaques opportunistes.
Le dernier correctif arrive près d’un mois après que les développeurs du plugin ont corrigé une autre faille (CVE-2024-44000, score CVSS : 7,5) qui pourrait permettre à des utilisateurs non authentifiés de prendre le contrôle de comptes arbitraires.
Il suit également le divulgation d’une faille critique d’injection SQL non corrigée dans le plugin TI WooCommerce Wishlist (CVE-2024-43917, score CVSS : 9,8) qui, si elle est exploitée avec succès, permet à tout utilisateur d’exécuter des requêtes SQL arbitraires dans la base de données du site WordPress.
Une autre vulnérabilité de sécurité critique concerne le plugin Jupiter X Core WordPress (CVE-2024-7772, score CVSS : 9,8) qui permet à des attaquants non authentifiés de télécharger des fichiers arbitraires sur le serveur du site concerné, conduisant potentiellement à l’exécution de code à distance.
Il a été corrigé dans la version 4.7.8, ainsi qu’une faille de contournement d’authentification de haute gravité (CVE-2024-7781, score CVSS : 8.1) qui « permet à des attaquants non authentifiés de se connecter en tant que premier utilisateur à s’être connecté. avec un compte de réseau social, y compris des comptes d’administrateur, ” Wordfence dit.