科技媒體 bleepingcomputer 昨日(8 月 22 日)發(fā)布博文,報(bào)道稱(chēng) LiteSpeed Cache WordPress 插件存在“關(guān)鍵”漏洞�,攻擊者利用該漏洞可以創(chuàng)建惡意管理員賬號(hào)�����,接管數(shù)百萬(wàn) WordPress 網(wǎng)站��。
LiteSpeed Cache 簡(jiǎn)介
IT之家注:LiteSpeed Cache 是一款開(kāi)源 WordPress 插件���,也是最受歡迎的 WordPress 網(wǎng)站加速插件,擁有超過(guò) 500 萬(wàn)個(gè)有效安裝�����,支持 WooCommerce��、bbPress�、ClassicPress 和 Yoast SEO。
漏洞介紹
該漏洞追蹤編號(hào)為 CVE-2024-28000���,是由 LiteSpeed Cache 6.3.0.1 及 6.3.0.1 版(含 6.3.0.1 版)中的弱散列檢查引起的�����。
任何未經(jīng)身份認(rèn)證的用戶(hù)利用該漏洞后���,可以獲得管理員級(jí)別的訪(fǎng)問(wèn)權(quán)限�����,從而通過(guò)安裝惡意插件����、更改關(guān)鍵設(shè)置�����、將流量重定向到惡意網(wǎng)站�����、向訪(fǎng)問(wèn)者分發(fā)惡意軟件或竊取用戶(hù)數(shù)據(jù)���,完全掌控網(wǎng)站�。
安全研究員約翰-布萊克伯恩(John Blackbourn)于 8 月 1 日向 Patchstack 的漏洞懸賞計(jì)劃提交了該漏洞�。
LiteSpeed 團(tuán)隊(duì)開(kāi)發(fā)了一個(gè)補(bǔ)丁,并隨 8 月 13 日發(fā)布的 LiteSpeed Cache 6.4 版本一起發(fā)布����。
文章內(nèi)容僅供閱讀�����,不構(gòu)成投資建議,請(qǐng)謹(jǐn)慎對(duì)待�。投資者據(jù)此操作,風(fēng)險(xiǎn)自擔(dān)��。
京公網(wǎng)安備 11010502041587號(hào)