CVE-2021-24964

Versões do plugin LiteSpeed Cache para WordPress anteriores à 4.4.4

O problema decorre do fato de o plugin não verificar adequadamente as solicitações provenientes dos servidores QUIC.cloud, permitindo que invasores enviem solicitações a determinados endpoints utilizando um valor específico no cabeçalho X-Forwarded-For. Além disso, um endpoint pode ser usado para definir código CSS se uma configuração estiver ativada, o que será então exibido em algumas páginas sem ser sanitizado e escapado. Isso pode ser explorado por um invasor não autenticado para inserir cargas de Cross-Site Scripting nas páginas visitadas pelos usuários.

Para versões anteriores à 4.4.4, atualize para a versão 4.4.4 ou posterior para resolver o problema. Como solução temporária, considere desativar a configuração que permite a injeção de código CSS até que um patch esteja disponível. Restrinja o acesso aos endpoints vulneráveis para minimizar o risco de exploração. Evite usar o valor do cabeçalho X-Forwarded-For nos endpoints da API afetados até que o problema seja resolvido.