Uma falha grave no plugin LiteSpeed do WordPress, usado por mais de 4 milhões de sites, foi corrigida após permitir que hackers injetassem scripts maliciosos nos sites vulneráveis. A falha foi descoberta pela equipe do Wordfence, que notificou a LiteSpeed em agosto. A correção foi lançada em outubro, na versão 5.7 do plugin.
A falha era do tipo Cross-Site Scripting (XSS), que permite que um atacante execute código arbitrário no navegador de um visitante do site. Isso pode levar a roubo de dados, redirecionamento para sites maliciosos ou infecção por malware. A falha ocorria porque o plugin não fazia a sanitização e o escape adequados dos dados enviados pelos usuários.
Os usuários do plugin LiteSpeed Cache são encorajados a atualizar para a versão mais recente o mais rápido possível para proteger seus sites contra essa falha. O plugin LiteSpeed é o mais popular plugin de cache do WordPress no mundo, e oferece recursos como otimização de imagens, minificação de arquivos e integração com o Cloudflare.
