科技媒體 bleepingcomputer 昨日(8 月 22 日)發(fā)布博文,報(bào)道稱 LiteSpeed Cache WordPress 插件存在“關(guān)鍵”漏洞�����,攻擊者利用該漏洞可以創(chuàng)建惡意管理員賬號(hào)��,接管數(shù)百萬 WordPress 網(wǎng)站���。
LiteSpeed Cache 簡(jiǎn)介
IT之家注:LiteSpeed Cache 是一款開源 WordPress 插件��,也是最受歡迎的 WordPress 網(wǎng)站加速插件����,擁有超過 500 萬個(gè)有效安裝�����,支持 WooCommerce�、bbPress、ClassicPress 和 Yoast SEO�。
漏洞介紹
該漏洞追蹤編號(hào)為 CVE-2024-28000,是由 LiteSpeed Cache 6.3.0.1 及 6.3.0.1 版(含 6.3.0.1 版)中的弱散列檢查引起的����。
任何未經(jīng)身份認(rèn)證的用戶利用該漏洞后,可以獲得管理員級(jí)別的訪問權(quán)限��,從而通過安裝惡意插件�、更改關(guān)鍵設(shè)置、將流量重定向到惡意網(wǎng)站���、向訪問者分發(fā)惡意軟件或竊取用戶數(shù)據(jù)����,完全掌控網(wǎng)站�。
安全研究員約翰-布萊克伯恩(John Blackbourn)于 8 月 1 日向 Patchstack 的漏洞懸賞計(jì)劃提交了該漏洞。
LiteSpeed 團(tuán)隊(duì)開發(fā)了一個(gè)補(bǔ)丁����,并隨 8 月 13 日發(fā)布的 LiteSpeed Cache 6.4 版本一起發(fā)布。
文章內(nèi)容僅供閱讀��,不構(gòu)成投資建議,請(qǐng)謹(jǐn)慎對(duì)待���。投資者據(jù)此操作���,風(fēng)險(xiǎn)自擔(dān)。
京公網(wǎng)安備 11010502041587號(hào)