Cacat Keamanan Membahayakan 4 Juta Situs Web WordPress

Dalam blognya, tim intelijen ancaman Wordfence menyatakan telah mengungkap kerentanan skrip lintas situs (XSS) pada plugin LiteSpeed ​​​​Cache, sebuah add-on populer yang terpasang di lebih dari 4 juta situs web WordPress. Kerentanan ini memungkinkan peretas dengan hak kontributor untuk menyuntikkan skrip berbahaya menggunakan kode pendek.

LiteSpeed ​​​​Cache adalah plugin yang mempercepat situs web WordPress dengan caching dan optimasi tingkat server. Plugin ini menyediakan kode pendek yang dapat digunakan untuk men-cache blok menggunakan teknologi Edge Side saat ditambahkan ke WordPress.

Namun, Wordfence menyatakan bahwa implementasi kode pendek pada plugin tersebut tidak aman, sehingga memungkinkan skrip sembarangan dimasukkan ke dalam halaman-halaman tersebut. Pemeriksaan kode yang rentan menunjukkan bahwa metode kode pendek tidak memeriksa input dan output secara memadai. Hal ini memungkinkan pelaku ancaman untuk melakukan serangan XSS. Setelah dimasukkan ke dalam halaman atau postingan, skrip tersebut akan dieksekusi setiap kali pengguna mengunjunginya.

Meskipun kerentanan tersebut memerlukan akun kontributor yang disusupi atau pengguna untuk mendaftar sebagai kontributor, Wordfence mengatakan penyerang dapat mencuri informasi sensitif, memanipulasi konten situs web, menyerang administrator, mengedit file, atau mengarahkan pengunjung ke situs web berbahaya.

Wordfence menyatakan telah menghubungi tim pengembang LiteSpeed ​​​​Cache pada 14 Agustus. Patch tersebut diluncurkan pada 16 Agustus dan dirilis untuk WordPress pada 10 Oktober. Pengguna kini perlu memperbarui LiteSpeed ​​​​Cache ke versi 5.7 untuk sepenuhnya memperbaiki celah keamanan ini. Meskipun berbahaya, fitur perlindungan Cross-Site Scripting bawaan firewall Wordfence membantu mencegah eksploitasi ini.