CVE-2026-3375 in LiteSpeed Cache Plugininformation

Résumé

par VulDB • 28/05/2026

Le plugin LiteSpeed Cache pour WordPress est vulnérable à un Stored Cross-Site Scripting (XSS stockée) via les points de terminaison de l'API REST /wp-json/litespeed/v1/notify_ccss et /wp-json/litespeed/v1/notify_ucss dans toutes les versions jusqu'à la 7.7 incluse. Ces points de terminaison acceptent le contenu CSS provenant des notifications de rappel QUIC.cloud et le stockent sur le disque sans aucune sanitization. Le contenu stocké est ensuite rendu en ligne lors des chargements de pages frontales sans output escaping. Le contrôle d'accès protégeant ces points de terminaison repose sur une validation basée sur l'adresse IP, qui peut potentiellement être contournée lorsque le site WordPress est déployé derrière un reverse proxy, un load balancer ou un CDN avec certaines configurations. Cela permet aux attaquants non authentifiés, dans certaines conditions, d'injecter du JavaScript arbitraire dans le contenu CCSS/UCSS.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

Wordfence

Réserver

28/02/2026

Divulgation

27/05/2026

Modérer

accepté

Entrée

VDB-365957

CPE

prêt

EPSS

0.00086

KEV

non

Activités

faible

Secteur

Hostingprovider

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-3375
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-3375
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-3375/

PrécédentAperçuSuivant

Might our Artificial Intelligence support you?

Check our Alexa App!