Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Il plugin LiteSpeed Cache di WordPress soffre di una grave falla di sicurezza: cosa devi sapere sul CVE-2023-40000

Redazione RHC : 1 Marzo 2024 16:43

È stata scoperta una vulnerabilità nel popolare plugin LiteSpeed ​​​​Cache per WordPress che consente agli utenti non autorizzati di aumentare i propri privilegi. LiteSpeed ​​​​Cache viene utilizzato per migliorare le prestazioni del sito Web e conta oltre cinque milioni di installazioni.

L’errore ha ricevuto l’identificatore CVE-2023-40000 ed è stato corretto nell’ottobre 2023 nella versione del plugin 5.7.0.1. “Il plugin soffre di problematiche XSS stored non autenticati e consente a qualsiasi utente non autenticato di rubare informazioni sensibili o aumentare i privilegi su un sito WordPress con una sola richiesta HTTP”, secondo Patchstack, che ha scoperto il problema.

Secondo loro, CVE-2023-40000 si verifica a causa di un’insufficiente sanificazione dell’input dell’utente. La causa del bug risiede nella funzione update_cdn_status() che può essere sfruttato nelle installazioni con impostazioni predefinite.

“Poiché il payload XSS viene inserito come notifica amministrativa e tale notifica può essere visualizzata su qualsiasi endpoint wp-admin, la vulnerabilità può essere facilmente sfruttata anche da qualsiasi utente con accesso a wp-admin”, aggiungono gli esperti.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

HTTP/1.1 Must Die! Falle critiche mettono milioni di siti web a rischio
Di Redazione RHC - 08/08/2025

Una falla di sicurezza cruciale nell’HTTP/1.1 è stata resa pubblica dagli esperti di sicurezza, mettendo in luce una minaccia che continua ad impattare sull’infrastruttura web da pi...

Scempio Digitale: Instagram della Fondazione Giulia Cecchettin, la ragazza uccisa dall’ex fidanzato è stato hackerato
Di Redazione RHC - 08/08/2025

Il cybercrime è sempre da condannare. Che tu colpisca una multinazionale o un piccolo negozio online, resta un crimine. Ma quando prendi di mira ospedali, associazioni senza scopo di lucro, fonda...

Il nuovo firmware del Flipper Zero made in DarkWeb, diventa la chiave per ogni auto
Di Redazione RHC - 08/08/2025

Un nuovo firmware personalizzato per il dispositivo multiuso Flipper Zero, è capace di eludere molti dei sistemi di sicurezza con codice variabile, implementati nella maggioranza dei veicoli di u...

Panico da AI: stiamo entrando nella fase più pericolosa della rivoluzione digitale
Di Redazione RHC - 08/08/2025

Negli ultimi mesi, il dibattito sull’intelligenza artificiale ha assunto toni sempre più estremi. Da un lato, le grandi aziende che sviluppano e vendono soluzioni AI spingono narrazioni ap...

Windows Perde terreno. Linux in crescita sui desktop aziendali, la motivazione è più sicurezza
Di Redazione RHC - 08/08/2025

L’utilizzo di Linux su desktop e laptop aziendali continua a crescere. Un’analisi di quasi 18,5 milioni di dispositivi ha rilevato che la quota di Linux sui dispositivi aziendali è ...