LiteSpeed Cache 插件被曝“關(guān)鍵”漏洞：影響數(shù)百萬 WordPress 網(wǎng)站，6.4 版已修復(fù)

IT之家 8 月 23 日消息，科技媒體 bleepingcomputer 昨日（8 月 22 日）發(fā)布博文，報(bào)道稱 LiteSpeed Cache WordPress 插件存在“關(guān)鍵”漏洞，攻擊者利用該漏洞可以創(chuàng)建惡意管理員賬號(hào)，接管數(shù)百萬 WordPress 網(wǎng)站。

LiteSpeed Cache 簡(jiǎn)介

IT之家注：LiteSpeed Cache 是一款開源 WordPress 插件，也是最受歡迎的 WordPress 網(wǎng)站加速插件，擁有超過 500 萬個(gè)有效安裝，支持 WooCommerce、bbPress、ClassicPress 和 Yoast SEO。

漏洞介紹

該漏洞追蹤編號(hào)為 CVE-2024-28000，是由 LiteSpeed Cache 6.3.0.1 及 6.3.0.1 版（含 6.3.0.1 版）中的弱散列檢查引起的。

任何未經(jīng)身份認(rèn)證的用戶利用該漏洞后，可以獲得管理員級(jí)別的訪問權(quán)限，從而通過安裝惡意插件、更改關(guān)鍵設(shè)置、將流量重定向到惡意網(wǎng)站、向訪問者分發(fā)惡意軟件或竊取用戶數(shù)據(jù)，完全掌控網(wǎng)站。

安全研究員約翰-布萊克伯恩（John Blackbourn）于 8 月 1 日向 Patchstack 的漏洞懸賞計(jì)劃提交了該漏洞。

LiteSpeed 團(tuán)隊(duì)開發(fā)了一個(gè)補(bǔ)丁，并隨 8 月 13 日發(fā)布的 LiteSpeed Cache 6.4 版本一起發(fā)布。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。