Lỗ hổng bảo mật trên plugin LiteSpeed ​​Cache – CVE-2024-47374

Một nhà nghiên cứu bảo mật có tên là “TaiYou” đã phát hiện ra lỗ hổng bảo mật trên plugin LiteSpeed ​​Cache có mã CVE-2024-47374, plugin LiteSpeed ​​Cache được biết đến là plugin lưu trữ đệm phổ biến nhất cho hệ thống quản lý nội dung (CMS) WordPress. TaiYou đã báo cáo lỗ hổng vào ngày 24 tháng 9 cho Patchstack thông qua chương trình tiền thưởng lỗi Patchstack dành cho WordPress, lỗ hỏng này ảnh hưởng đến các phiên bản các phiên bản LiteSpeed ​​Cache trước 6.5.0.2 và người dùng nên cập nhật ngay lập tức để tránh bị tấn công.

LiteSpeed ​​Cache được các nhà phát triển mô tả là “một plugin tăng tốc trang web tất cả trong một, có bộ nhớ đệm cấp máy chủ độc quyền và một loạt các tính năng tối ưu hóa”. Plugin này hỗ trợ WordPress Multisite và tương thích với hầu hết các plugin phổ biến, bao gồm WooCommerce, bbPress và Yoast SEO.

Theo Patchstack, lỗ hổng cần được xử lý ngay là lỗ hổng XSS được lưu trữ chưa xác thực “có thể cho phép bất kỳ người dùng chưa xác thực nào đánh cắp thông tin nhạy cảm, trong trường hợp này là leo thang đặc quyền trên trang web WordPress bằng cách thực hiện một yêu cầu HTTP”.

Nhiều người dùng lo ngại khi sử dụng plugin này vì đây không phải là lần đầu mà là lần thứ 8 trong năm 1 plugin nổi tiếng số 1 thế giới dính lỗi bảo mật nghiêm trọng như này.

Thông tin chi tiết về lỗ hỏng này bạn quan tâm có thể xem tại:

https://patchstack.com/articles/unauthenticated-stored-xss-vulnerability-in-litespeed-cache-plugin-affecting-6-million-sites/

Luôn cập nhật mới các plugin và theme để vá sớm các lỗ hỏng bảo mật nhé.

Chúc website bạn an toàn và phát triển.