Вона може дозволити зловмисникам підвищити свої привілеї.
У плагіні LiteSpeed Cache для WordPress виявили безпекову вразливість міжсайтового сценарію, яка може дозволити неавтентифікованим користувачам викрасти конфіденційну інформацію для ескалації привілеїв на сайті WordPress. Цю помилку, відстежувану як CVE-2023-40000, усунули в жовтні 2023 року у версії 5.7.0.1. Компанія безпеки WordPress Wordfence заявила, що CVE-2023-40000 є результатом відсутності дезінфекції введених користувачем даних і виходу, а корінням уразливості є функція update_cdn_status(), яку можна відтворити під час встановлення за замовчуванням.
Плагін LiteSpeed Cache, що використовується для покращення продуктивності сайту, налічує понад п’ять мільйонів встановлень. Остання його версія 6.1 була випущена 5 лютого 2024 року. Крім того, у популярному плагіні WordPress Ultimate Member, який має понад 200 000 активних установок, також виявили критичну помилку безпеки, з оцінкою CVSS 9,8 із максимальних 10. Розробники плагінів випустили оновлення версії Ultimate Member 2.8.3, яке наполегливо рекомендують встановити якнайшвидше – бо Wordfence вже заблокувала атаку, що намагалася використати цей недолік.
