Foi divulgada uma vulnerabilidade de segurança no plugin LiteSpeed Cache para WordPress, que poderia permitir a usuários não autenticados escalar seus privilégios. Identificada como CVE-2023-40000, a vulnerabilidade foi corrigida em outubro de 2023, na versão 5.7.0.1.

Este plugin sofre de uma vulnerabilidade de armazenamento de scripts entre sites (XSS) acessível sem autenticação em todo o site, o que poderia permitir a qualquer usuário não autenticado, desde roubar informações sensíveis até, neste caso, escalar privilégios no site WordPress por meio de uma única solicitação HTTP.

O LiteSpeed Cache, utilizado para melhorar o desempenho do site, possui mais de cinco milhões de instalações. A versão mais recente do plugin é a 6.1, lançada em 5 de fevereiro de 2024. A empresa de segurança do WordPress informou que a CVE-2023-40000 é resultado da falta de sanitização da entrada do usuário e da não escapada da saída. A vulnerabilidade está enraizada em uma função chamada update_cdn_status() e pode ser reproduzida em uma instalação padrão.