Une découverte alarmante a secoué la communauté WordPress : une faille de sécurité dans le plugin très utilisé LiteSpeed met en péril la sécurité de pas moins de 5 millions de sites web. Cette faille, révélée par les experts en cybersécurité de Patchstack, expose ces sites à des risques majeurs de violation de données, suite à une cyberattaque signalée chez France Travail le 13 mars 2024.
Contexte du plugin LiteSpeed
LiteSpeed, un plugin populaire d’accélération de site Web pour WordPress, offre diverses fonctionnalités d’optimisation et de mise en cache serveur. Il est largement utilisé pour améliorer les performances des sites WordPress, notamment en ce qui concerne le temps de chargement des pages.
Les détails de la faille
La faille, identifiée sous le nom de CVE 2023-40000, permet à des tiers non autorisés de réaliser une escalade des privilèges sur un site WordPress. Cette vulnérabilité découle d’un problème de script intersite (XSS) stocké sur l’ensemble du site, causé par un défaut de vérification des entrées par les utilisateurs. Cette même lacune de sécurité avait déjà été observée dans d’autres logiciels, dont le logiciel de messagerie Zimbra Collaboration.
Les actions entreprises
Les développeurs de LiteSpeed ont rapidement réagi à la découverte en publiant un correctif dans la version 6.1 de LiteSpeed Cache, disponible depuis octobre de l’année dernière. Il est fortement recommandé aux utilisateurs de mettre à jour leurs plugins vers au moins la version 5.7.0.1 pour se prémunir contre de potentielles attaques futures.
WordPress : une cible privilégiée
WordPress, étant le principal créateur de sites web au monde, est une cible de choix pour les pirates informatiques. Bien que WordPress lui-même soit généralement sécurisé, les plugins et les thèmes, souvent mal entretenus, représentent un point faible. Les plugins, en particulier ceux développés par de petites équipes ou des individus, peuvent être vulnérables aux attaques, d’autant plus s’ils sont abandonnés ou mal entretenus.
Pour en savoir plus sur cette faille de sécurité et les mesures recommandées, consultez la source originale sur Patchstack.