El popular complemento LiteSpeed de WordPress solucionó una vulnerabilidad que comprometía a más de 4 millones de sitios web, permitiendo a los piratas informáticos cargar scripts maliciosos.
LiteSpeed fue notificado de la vulnerabilidad hace dos meses, el 14 de agosto, y lanzó un parche en octubre.
Vulnerabilidad de secuencias de comandos entre sitios (XSS)
Wordfence descubrió una vulnerabilidad de Cross-Site Scripting (XSS) en el complemento LiteSpeed, el complemento de almacenamiento en caché de WordPress más popular del mundo.
Las vulnerabilidades XSS son generalmente de un tipo que se aprovecha de la falta de un proceso de seguridad llamado desinfección y escape de datos.
La desinfección es una técnica que filtra qué tipo de archivos se pueden cargar a través de una entrada legítima, como en un formulario de contacto.
En la vulnerabilidad específica de LiteSpeed, la implementación de una funcionalidad de código abreviado permitió a un pirata informático malintencionado cargar scripts que de otro modo no podrían cargar si se hubieran implementado los protocolos de seguridad adecuados de desinfección/escape de datos.
La página para desarrolladores de WordPress describe la práctica de seguridad de desinfección:
“Los datos no confiables provienen de muchas fuentes (usuarios, sitios de terceros, ¡incluso su propia base de datos!) y es necesario verificarlos todos antes de usarlos.
…Desinfectar los datos de entrada es el proceso de asegurar/limpiar/filtrar los datos de entrada”.
Otra página para desarrolladores de WordPress describe el proceso recomendado para escapar de datos de esta manera:
“Escapar de la salida es el proceso de proteger los datos de salida eliminando los datos no deseados, como etiquetas HTML o script con formato incorrecto.
Este proceso ayuda a proteger sus datos antes de entregárselos al usuario final”.
Esta vulnerabilidad específica requiere que el hacker primero obtenga permisos de nivel de colaborador para poder llevar a cabo el ataque, lo que hace que llevar a cabo el ataque sea más complicado que otros tipos de amenazas que no están autenticadas (no requieren ningún nivel de permiso).
Según Wordfence:
“Esto hace posible que los actores de amenazas lleven a cabo ataques XSS almacenados. Una vez que se inyecta un script en una página o publicación, se ejecutará cada vez que un usuario acceda a la página afectada.
Si bien esta vulnerabilidad requiere que una cuenta de colaborador confiable esté comprometida, o que un usuario pueda registrarse como colaborador, los actores de amenazas exitosos podrían robar información confidencial, manipular el contenido del sitio, inyectar usuarios administrativos, editar archivos o redirigir a los usuarios a sitios web maliciosos que Son todas consecuencias graves”.
¿Qué versiones del complemento LiteSpeed son vulnerables?
Las versiones 5.6 o inferiores del complemento LiteSpeed Cache son vulnerables al ataque XSS.
Se recomienda a los usuarios de LiteSpeed Cache que actualicen su complemento lo antes posible a la última versión, 5.7, que se lanzó el 10 de octubre de 2023.
Lea el boletín de Wordfence sobre la vulnerabilidad LiteSpeed XSS:
4 millones de sitios de WordPress afectados por la vulnerabilidad de secuencias de comandos almacenadas entre sitios en el complemento LiteSpeed Cache
Imagen destacada de Shutterstock/Asier Romero