اكتشف الخبراء ثغرة أمنية خطيرة في مكون LiteSpeed Cache الشهير على منصة WordPress، تعرض أكثر من 7 ملايين موقع حول العالم لخطر هجمات XSS. وتم تسجيل الثغرة تحت الرمز CVE-2025-12450، بدرجة خطورة متوسطة وفق مقياس CVSS بلغت 6.1، لكنها تعد مقلقة نظراً لانتشار المكون على نطاق واسع.
يستخدم LiteSpeed Cache لتسريع تحميل المواقع من خلال تخزين الصفحات مؤقتاً وتحسين أداء الخوادم، إلا أن الخلل المكتشف يقوض هذه الفوائد بتحويله إلى نقطة ضعف يمكن للمهاجمين استغلالها لحقن أكواد JavaScript خبيثة في الصفحات. ويرجع الخبراء سبب الثغرة إلى ضعف في آليات التحقق من المدخلات وتصفية المخرجات في معالجة عناوين URL داخل المكون، ما يسمح بعرض بيانات غير منقحة على واجهة المستخدم.
ووفقاً للباحث نيكولاس جيمسا من شركة Trustwave، يمكن للمهاجمين استغلال الثغرة من خلال إنشاء روابط مخصصة وإقناع المستخدمين بالنقر عليها عبر البريد الإلكتروني أو مواقع التواصل الاجتماعي أو صفحات مخترقة. وعند الضغط على الرابط، يتم تنفيذ كود خبيث في متصفح الضحية، ما يتيح سرقة بيانات الجلسة أو تنفيذ أوامر غير مصرح بها على الموقع.
ورغم أن هذا النوع من الهجمات يصنف ضمن فئة XSS المنعكسة التي تتطلب تفاعل المستخدم، فإنه يبقى خطيراً على مديري المواقع الذين قد يتعرضون لاختراق حساباتهم في حال كانوا مسجلين دخولهم عند النقر على الرابط.
تشمل الثغرة جميع نسخ LiteSpeed Cache حتى الإصدار 7.5.0.1، وقد أصدرت الشركة المطورة تحديثاً أمنياً في النسخة 7.6 يعالج الخلل عبر تحسين عمليات تنقية المدخلات وتصفية المخرجات.
وحث خبراء الأمن السيبراني جميع مديري المواقع التي تستخدم WordPress على تحديث المكون فوراً إلى الإصدار 7.6 أو أحدث، ومراقبة النشاطات المشبوهة، وتفعيل أنظمة حماية إضافية مثل جدران حماية تطبيقات الويب (WAF) لتقليل فرص استغلال الثغرات المشابهة مستقبلاً.
