Se ha descubierto una vulnerabilidad de seguridad en el popular plugin LiteSpeed Cache para WordPress, utilizado por más de 7 millones de sitios web en todo el mundo. Este complemento, ampliamente usado para mejorar la velocidad y el rendimiento de los sitios al almacenar temporalmente (en caché) el contenido y acelerar la carga de las páginas, presenta una falla que permite a los atacantes inyectar código malicioso mediante enlaces manipulados.
El problema, identificado como CVE-2025-12450, se debe a una falta de validación y escape adecuado de datos en la gestión de URLs, lo que abre la posibilidad de ejecutar ataques de tipo Cross-Site Scripting (XSS). Mediante esta vulnerabilidad, un atacante puede enviar enlaces especialmente diseñados que, al ser abiertos por un usuario, ejecutan código no autorizado en su navegador. Esto puede permitir el robo de cookies, credenciales, información sensible o incluso el secuestro de sesiones de administrador.
Aunque la explotación requiere la interacción del usuario (hacer clic en un enlace malicioso), el alcance es amplio debido a la enorme cantidad de sitios web afectados.
Productos afectados
- Plugin LiteSpeed Cache para WordPress hasta la versión 7.5.0.1
Solución
- Actualizar el plugin a la versión 7.6 o superior, la cual corrige la falla implementando una sanitización y escape adecuados de las entradas.
Recomendaciones
- Actualizar inmediatamente el plugin LiteSpeed Cache a la versión 7.6 o más reciente.
- Evitar abrir enlaces sospechosos provenientes de correos, redes sociales o sitios no confiables.
- Supervisar los registros del sitio ante comportamientos inusuales o accesos no autorizados.
- Implementar un firewall de aplicaciones web (WAF) para mitigar ataques XSS.
Referencias: