LiteSpeed 曝出严重漏洞，致使超 600 万 WordPress 网站遭攻击

文章预览

近日，Patchstack 的 Rafie Muhammad 在 LiteSpeed Cache 插件中发现了一个严重漏洞，该插件主要用于加快超 600 万个 WordPress 网站的用户浏览速度。该漏洞被追踪为 CVE-2024-44000，并被归类为未经身份验证的帐户接管问题 。随着 LiteSpeed Cache 6.5.0.1 版本的发布，修复程序也于昨天（9月4日）发布。 调试功能将 cookie 写入文件 该漏洞与插件的调试日志功能有关，当启用该功能时，它会将所有 HTTP 响应头（包括 “Set-Cookie ”头）记录到文件中。 这些标头包含用于验证用户身份的会话 cookie，一旦攻击者成功窃取这些 cookie，就可以冒充管理员用户完全控制网站。 要利用该漏洞，攻击者必须能够访问“/wp-content/debug.log ”中的调试日志文件。在未实施文件访问限制（如 .htaccess 规则）的情况下，只需输入正确的 URL 即可。 当然，攻击者只能窃取在调试功能激活时登录网站 ………………………………