- בלוג
- פלאגין LiteSpeed Cache של וורדפרס מכיל פרצת XSS
פלאגין LiteSpeed Cache של וורדפרס מכיל פרצת XSS
פלאגין LiteSpeed Cache של וורדפרס מכיל פרצת XSS
פורסם ב 07-10-2024
פרצה חמורה נמצאה בפלאגין LiteSpeed Cache של וורדפרס. הפלאגין משמש להאצת פעולתם של אתרי וורדפרס, באמצעות שמירת מטמון מהשרתים עליהם “יושבים” האתרים, ובאמצעות מגוון כלים נוספים.
הפרצה היא פרצת XSS-קבועה (Stored-XSS), והיא קיימת בגרסה 6.5.02 (וכל הגרסאות שלפניה) של הפלאגין.
LiteSpeed Cache הוא בין הפלאגינים הפופולריים ביותר של פלטפורמת וורדפרס. עמוד ההורדה של הפלאגין מציין מעל ל-6 מיליון הורדות, כך שהפרצה בעלת פוטנציאל חשיפה גבוה במיוחד.
היא נמצאה על ידי חוקר של Patchstack בשם טאי יו (Tai You), ותוייגה כ-CVE-2024-47374. דירוגה בסולם CVSSv3 הוא 7.1 מתוך 10 – כלומר, רמת איום גבוהה.
פרצת XSS (או Cross-Site Scripting) היא פרצה המאפשרת הזרקה של קוד זדוני לאתרי אינטרנט או לשרתי אינטרנט. ההתקפה מתאפשרת בדרך כלל כאשר אין אימות מספיק של הקלט המגיע מהמשתמש ליישום או לאתר אינטרנט כלשהו. התקפה מוצלחת יכולה לאפשר לתוקף להשיג מידע מהשרת או האתר, לחבל בו, להשתלט עליו, וגם “להדביק” את מי שנחשף לחלק ה”נגוע”.
פרצת XSS–קבועה היא סוג של אותה פרצה. היא מתקיימת באתרים שמאחסנים קלט קבוע (שמגיע ממשתמשים), מבלי לוודא שהקלט “נקי” מזיהומים שונים. הקלט ה”מזוהם” ייחשף למשתמשים שונים, ללא ידיעתם או ידיעת האתר, וכך ניתן יהיה לגנוב גם מהם פרטים או נתוני אימות.
פרצות XSS הן בין הנפוצות ביותר, כאשר סטטיסטיקות מסויימות טוענות שניתן לבצע מתקפת XSS על כ-30% (!) מיישומי האינטרנט בעולם.
איך הפרצה עובדת?
ראשית, הפרצה מתקיימת רק בתנאי שהגדרות CSS Combine ו-Generate UCSS, תחת קטגוריית Page Optimization, מאופשרות (במצב On) בפלאגין.
הפרצה היא תוצאה של סנטיזציה בלתי מספקת של קלט, ו”מילוט” (Escaping) בלתי מספיק של פלט, בשתי פונקציות של הפלאגין:_ccss(), האחראית על ייצור CCSS (או Combine CSS – פילטר שנועד להפחית את כמות בקשות ה-HTML כאשר מרעננים את הדף. ההפחתה מתבצעת באמצעות צמצום קבצי CSS לקובץ אחד המכיל את התוכן של כל הקבצים);
ו-_load(), האחראית לייצור UCSS (או Unique CSS – מעין קובץ, שתפקידו להסיר קוד CSS לא נחוץ להצגה מהירה יותר של דף ה-HTML).
בשל הסניטיזציה הלקויה בפונקציות אלה, תוקף פוטנציאלי יכול להשתמש בקלט התקורה (Header) מפונקציית “Vary Group” כדי להזריק קוד זדוני למערכת.
כדי להבין יותר איך הפרצה עובדת ברמה הטכנית, ניתן לקרוא את הדיווח של Patchstack.
מפתחי הפלאגין לא התמהמהו והוציאו גירסה מתוקנת של הפלאגין – גירסה 6.5.1 – אותה ניתן להוריד מכאן.
אנו ממליצים למי שמשתמש בפלאגין לבצע את העדכון בהקדם. כפי שציינו, הפרצה היא בעלת פוטנציאל חשיפה מאוד גבוה, מה שבוודאי ימשוך נסיונות ניצול רבים.
נציין שרק השנה נמצאו עוד שלוש פרצות XSS ב-LiteSpeed Cache. לכן, בנוסף לעדכון, מומלץ ליישם הגדרות סניטיזציה ומילוט כאשר מפתחים בוורדפרס. סיפקנו לכם מדריכים מהתיעוד של וורדפרס איך לבצע סניטיזציה ו- איך לבצע מילוט (Escaping).
לעזרה נוספת עם עדכון הפלאגין, הגדרות וורדפרס, ולכל דבר אחר, אתם מוזמנים לפנות אלינו. צור קשר
