CVE-2026-3375 in LiteSpeed Cache Plugininformación

Resumen

por VulDB • 2026-05-27

El plugin LiteSpeed Cache para WordPress es vulnerable a Stored Cross-Site Scripting (XSS almacenado) a través de los puntos de conexión de la API REST /wp-json/litespeed/v1/notify_ccss y /wp-json/litespeed/v1/notify_ucss en todas las versiones hasta la 7.7, incluida. Estos puntos de conexión aceptan contenido CSS de las notificaciones de callback de QUIC.cloud y lo almacenan en el disco sin sanitización. El contenido almacenado se renderiza posteriormente en línea durante las cargas de páginas frontend sin escapado de salida. El control de acceso que protege estos puntos de conexión se basa en una validación de IP que potencialmente puede ser eludida cuando el sitio de WordPress se implementa detrás de un proxy inverso, un equilibrador de carga o una CDN con ciertas configuraciones. Esto hace posible que atacantes no autenticados, bajo ciertas condiciones, inyecten JavaScript arbitrario en el contenido CCSS/UCSS.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

Wordfence

Reservar

2026-02-28

Divulgación

2026-05-27

Moderación

aceptado

Artículo

VDB-365957

CPE

listo

EPSS

0.00086

KEV

no

Actividades

bajo

Sector

Hostingprovider

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-3375
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-3375
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-3375/

AnteriorVisión De ConjuntoPróximo

Might our Artificial Intelligence support you?

Check our Alexa App!