El plugin LiteSpeed Cache para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de la configuración de depuración del plugin en todas las versiones hasta, e incluyendo, la 6.4.1 debido a una sanitización insuficiente de la entrada y escape de la salida. Esto permite a atacantes autenticados, con permisos de nivel administrador y superiores, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Esto solo afecta a instalaciones multi-sitio e instalaciones donde se ha deshabilitado unfiltered_html.
Los usuarios afectados por esta vulnerabilidad pueden protegerse actualizando el plugin LiteSpeed Cache a una versión posterior a la 6.4.1, donde se han implementado medidas de seguridad para mitigar esta amenaza. Además, se recomienda a los administradores de sitios web restringir los permisos de los usuarios para reducir el riesgo de que un atacante aproveche esta vulnerabilidad.
Es fundamental mantener todos los plugins de WordPress actualizados para protegerse contra vulnerabilidades conocidas. En el caso del plugin LiteSpeed Cache, se ha identificado y corregido este fallo de seguridad en versiones posteriores a la 6.4.1, por lo que se recomienda a los usuarios afectados actualizar lo antes posible.