安全简讯（2024.08.23）

文章预览

1. LiteSpeed Cache插件漏洞导致数百万WordPress网站面临被控风险 8月21日，LiteSpeed Cache作为WordPress平台上一款广受欢迎的网站加速插件，近期被发现存在一个严重安全漏洞（CVE-2024-28000），该漏洞允许未经身份验证的攻击者通过创建恶意管理员账户来控制数百万个网站。该漏洞源于LiteSpeed Cache 6.3.0.1及以上版本中用户模拟功能的弱哈希校验问题。安全研究员John Blackbourn于8月初报告了此漏洞，LiteSpeed团队迅速响应，并于8月13日发布了包含修复补丁的6.4版本。此漏洞的严重性在于，一旦成功利用，攻击者可以获取管理员权限，进而安装恶意插件、篡改网站设置、重定向流量至恶意站点、分发恶意软件或窃取用户数据。研究人员指出，通过暴力破解哈希值的方式，攻击者能够在短时间内实现对特定用户ID的管理员级访问，尤其当使用常见的用户ID（如1）时，成 ………………………………