CVE-2026-3375

Nome do Software Vulnerável e Versões Afetadas LiteSpeed Cache versões anteriores a 7.8

Descrição O plugin LiteSpeed Cache para WordPress contém um problema de Cross-Site Scripting Armazenado. Os endpoints da REST API "/wp-json/litespeed/v1/notify ccss" e "/wp-json/litespeed/v1/notify ucss" aceitam conteúdo CSS de notificações de callback do QUIC.cloud e o armazenam no disco sem sanitização. Esse conteúdo é posteriormente renderizado inline durante o carregamento de páginas no frontend sem a devida filtragem de saída. A validação baseada em IP utilizada para o controle de acesso nesses endpoints pode ser burlada se o site estiver implantado atrás de um CDN, balanceador de carga ou proxy reverso com configurações específicas, permitindo que atacantes não autenticados injetem JavaScript arbitrário no conteúdo CCSS/UCSS.

Recomendações Atualize para uma versão posterior a 7.7.