WordPress’ning mashhur plaginida xavf: 7 million saytni XSS hujumiga ochib qo‘ygan zaiflik aniqlandi
Dunyo bo‘yicha millionlab saytlar tomonidan qo‘llaniladigan LiteSpeed Cache plagini ichida xavfsizlikka jiddiy putur yetkazishi mumkin bo‘lgan zaiflik aniqlangani haqida ma’lum qilindi. Zaiflik CVE-2025-12450 identifikatoriga ega bo‘lib, saytlarni Cross-Site Scripting (XSS) turidagi hujumlarga ochiq qoldiradi. Bu plagin 7 milliondan ortiq faol o‘rnatilgan bo‘lgani uchun, tahdid ko‘lami global darajada juda katta.
Zaiflik nimada?
LiteSpeed Cache — WordPress saytlarini optimallashtirish, tezligini oshirish va kechlashni boshqarish uchun qo‘llaniladigan eng mashhur vositalardan biridir. Biroq aniqlangan yangi xato plagin tomonidan qayta ishlanadigan URL manzillarida foydalanuvchi tomonidan kiritiladigan ma’lumotlar yetarli darajada tekshirilmasligi va tozalab chiqilmasligi bilan bog‘liq.
Natijada, tajovuzkor:
- zararli havola tayyorlaydi,
- foydalanuvchini uni bosishga majbur qiladi,
- havola orqali brauzerda qo‘shimcha zararli JavaScript kodi ishga tushadi.
Bu orqali XSS hujumi orqali quyidagi holatlar yuz berishi mumkin:
- foydalanuvchi sessiya cookie’larini o‘g‘irlash,
- administrator huquqini qo‘lga kiritish,
- sayt ichida foydalanuvchi nomidan buyruqlarni bajarish,
- ma’lumotlarni ko‘rish, o‘zgartirish yoki o‘chirish.
Hujum foydalanuvchi havolani bosgandan keyin ishga tushishi sababli, bu reflektiv XSS toifasiga kiradi. Biroq, aynan shu plagin keng qo‘llanilgani uchun xavf darajasi sezilarli.
Kimlar xavf ostida?
Zaiflik plaginning 7.5.0.1 versiyasigacha bo‘lgan barcha versiyalarida mavjud.
LiteSpeed kompaniyasi allaqachon muammoni bartaraf etgan va yangilangan 7.6 versiyani chiqargan. Unda xavfli kod to‘liq tuzatilib, kiruvchi ma’lumotlarni tekshirish va tozalash mexanizmlari kuchaytirilgan.
| Zaiflik tafsilotlari | Ma’lumot |
|---|---|
| CVE ID | CVE-2025-12450 |
| Xavfsizlik balli (CVSS) | 6.1 — O‘rta daraja |
| Zaiflik turi | Cross-Site Scripting (XSS) |
| Ta’sir qiluvchi versiyalar | 7.5.0.1 va undan oldingi barcha versiyalar |
| Tuzatilgan versiya | 7.6 |
Adminlar uchun tavsiyalar
Agar sizning WordPress saytingiz LiteSpeed Cache’dan foydalanayotgan bo‘lsa, xavfsizlikni ta’minlash uchun quyidagilarni bajaring:
✅ plaginni WordPress boshqaruv paneli orqali darhol 7.6 yoki undan yuqori versiyaga yangilang
✅ saytda g‘ayrioddiy faoliyatlarni kuzating (kutilmagan admin kirishlari, noma’lum skriptlar)
✅ Web Application Firewall (WAF — masalan, Cloudflare, Sucuri) yoqing
✅ kuchli parol va ikki faktorli autentifikatsiyani yoqing
LiteSpeed Cache – WordPress saytlarini tezlashtiruvchi kuchli vosita. Ammo keng qo‘llaniladigan har qanday plagin kabi, vaqtida yangilanmasa, katta xavf tug‘dirishi mumkin. Bu zaiflik yana bir bor shuni ko‘rsatdiki:
Sayt xavfsizligi — yangilanishlardan boshlanadi.
Har bir administrator bu jarayonni o‘z sayt himoyasining ajralmas qismi sifatida ko‘rishi kerak.
