文章预览
关键词 安全漏洞 近日,Patchstack 的 Rafie Muhammad 在 LiteSpeed Cache 插件中发现了一个严重漏洞,该插件主要用于加快超 600 万个 WordPress 网站的用户浏览速度。该漏洞被追踪为 CVE-2024-44000,并被归类为未经身份验证的帐户接管问题 。随着 LiteSpeed Cache 6.5.0.1 版本的发布,修复程序也于昨天(9月4日)发布。 调试功能将 cookie 写入文件 该漏洞与插件的调试日志功能有关,当启用该功能时,它会将所有 HTTP 响应头(包括 “Set-Cookie ”头)记录到文件中。 这些标头包含用于验证用户身份的会话 cookie,一旦攻击者成功窃取这些 cookie,就可以冒充管理员用户完全控制网站。 要利用该漏洞,攻击者必须能够访问“/wp-content/debug.log ”中的调试日志文件。在未实施文件访问限制(如 .htaccess 规则)的情况下,只需输入正确的 URL 即可。 当然,攻击者只能窃取在调试功
………………………………
