The LiteSpeed Cache plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the /wp-json/litespeed/v1/notify_ccss and /wp-json/litespeed/v1/notify_ucss REST API endpoints in all versions up to, and including, 7.7. These endpoints accept CSS content from QUIC.cloud callback notifications and store it to disk without sanitization. The stored content is later rendered inline frontend page loads without output escaping. The access control protecting these endpoints is IP-based validation that can potentially be bypassed when the WordPress site is deployed behind a reverse proxy, load balancer, or CDN with certain configurations. This makes it possible for unauthenticated attackers, under certain conditions, to inject arbitrary JavaScript into CCSS/UCSS content.
LiteSpeed Cache plugin for WordPress versions up to 7.7 contains a Stored XSS vulnerability in REST API endpoints that accept CSS content without sanitization. Unauthenticated attackers can inject malicious JavaScript through QUIC.cloud callback notifications when IP-based access controls are bypassed via reverse proxies or CDNs.
تحتوي إضافة LiteSpeed Cache الشهيرة لـ WordPress على ثغرة Stored XSS حرجة في نقاط نهاية REST API /wp-json/litespeed/v1/notify_ccss و /wp-json/litespeed/v1/notify_ucss. يتم قبول محتوى CSS من إخطارات رد اتصال QUIC.cloud وتخزينه على القرص دون تنظيف، ثم يتم عرضه في صفحات الويب الأمامية بدون هروب من الإخراج. يمكن تجاوز التحكم في الوصول القائم على IP عند نشر الموقع خلف reverse proxy أو موازن تحميل أو CDN.
إضافة LiteSpeed Cache لـ WordPress حتى الإصدار 7.7 تحتوي على ثغرة XSS مخزنة في نقاط نهاية REST API التي تقبل محتوى CSS بدون تنظيف. يمكن للمهاجمين غير المصرح لهم حقن JavaScript ضار عبر إخطارات رد اتصال QUIC.cloud عند تجاوز عناصر التحكم في الوصول القائمة على IP.
Update LiteSpeed Cache plugin to version 7.8 or later immediately. Implement strict IP whitelisting for QUIC.cloud callback sources independent of reverse proxy headers. Add Web Application Firewall (WAF) rules to validate and sanitize CSS content in REST API requests. Enable output escaping for all dynamically rendered CSS content. Review and harden reverse proxy/CDN configurations to prevent IP spoofing.
قم بتحديث إضافة LiteSpeed Cache إلى الإصدار 7.8 أو أحدث فوراً. طبق قائمة بيضاء صارمة لعناوين IP لمصادر رد اتصال QUIC.cloud بشكل مستقل عن رؤوس reverse proxy. أضف قواعد جدار حماية تطبيقات الويب (WAF) للتحقق من صحة محتوى CSS وتنظيفه في طلبات REST API. فعّل الهروب من الإخراج لجميع محتوى CSS المعروض ديناميكياً. راجع وقوّ تكوينات reverse proxy/CDN لمنع انتحال عناوين IP.