CVE-2026-3375 in LiteSpeed Cache Plugininfo

Zusammenfassung

von VulDB • 27.05.2026

Das LiteSpeed Cache-Plugin für WordPress ist in allen Versionen bis einschließlich 7.7 anfällig für Stored Cross-Site Scripting (XSS) über die REST-API-Endpunkte /wp-json/litespeed/v1/notify_ccss und /wp-json/litespeed/v1/notify_ucss. Diese Endpunkte akzeptieren CSS-Inhalte von QUIC.cloud-Callback-Benachrichtigungen und speichern diese ohne Sanitization auf der Festplatte. Die gespeicherten Inhalte werden später bei der Frontend-Seitenladung inline gerendert, ohne dass eine Output-Escaping-Maßnahme erfolgt. Die den Zugriff auf diese Endpunkte schützende Zugriffskontrolle basiert auf einer IP-basierten Validierung, die unter bestimmten Konfigurationen potenziell umgangen werden kann, wenn die WordPress-Site hinter einem Reverse Proxy, einem Load Balancer oder einem CDN bereitgestellt ist. Dies ermöglicht es nicht authentifizierten Angreifern unter bestimmten Bedingungen, beliebigen JavaScript-Code in CCSS/UCSS-Inhalte einzufügen.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

Wordfence

Reservieren

28.02.2026

Veröffentlichung

27.05.2026

Moderieren

akzeptiert

Eintrag

VDB-365957

CPE

bereit

EPSS

0.00086

KEV

nein

Aktivitäten

low

Sektor

Hostingprovider

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-3375
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-3375
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-3375/

ZurückÜbersichtWeiter

Interested in the pricing of exploits?

See the underground prices here!