Uma nova falha de segurança de alta gravidade foi descoberta no plugin LiteSpeed Cache para WordPress, permitindo que atacantes executem código JavaScript malicioso sob certas condições. A vulnerabilidade, identificada como CVE-2024-47374, recebeu uma pontuação CVSS de 7.2 e é classificada como um ataque de Cross-Site Scripting (XSS) armazenado. A falha afeta todas as versões do plugin até a 6.5.0.2 e foi corrigida na versão 6.5.1, lançada em 25 de setembro de 2024, após a denúncia responsável feita pelo pesquisador TaiYou da Patchstack Alliance.

A falha ocorre devido à forma inadequada com que o plugin processa o valor do cabeçalho HTTP “X-LSCACHE-VARY-VALUE”, sem a devida sanitização e escapamento de saída. Isso permite a injeção de scripts maliciosos, que podem ser executados em navegadores de usuários desavisados que acessam o site comprometido. Esse tipo de ataque pode ser extremamente perigoso, pois os scripts injetados são armazenados permanentemente nos servidores do site afetado.

Isso significa que qualquer visitante que acessar a página infectada poderá executar o código malicioso. As consequências incluem roubo de informações confidenciais, exploração de vulnerabilidades do navegador ou até a tomada de controle de sessões autenticadas, permitindo que o invasor realize ações em nome do usuário.