根据Miyayang订户的线索投递以及8月23日的消息,科技博客BleepingComputer于8月22日发表了一篇博文,披露了WordPress插件LiteSpeed Cache存在严重的安全漏洞。这个漏洞允许攻击者创建恶意管理员账户,控制数百万WordPress网站。以下是对报道的详细分析说明:
LiteSpeed Cache是一款流行的WordPress加速插件,以开源方式提供,拥有超过500万有效的安装数量。该插件广泛支持WooCommerce、bbPress、ClassicPress和YoastSEO,旨在提升网站的加载速度,从而增强用户体验。
这个关键漏洞的追踪编号为CVE-2024-28000,由LiteSpeed Cache 6.3.0.1版本中的弱散列检查引起。该漏洞允许未经认证的攻击者获取管理员级别的访问权限。攻击者可以利用该权限执行多种恶意操作,包括但不限于:
这些操作使得攻击者可以完全控制受影响的网站。
安全研究员John Blackbourn在8月1日向Patchstack的漏洞悬赏计划提交了关于此漏洞的报告。Patchstack是一家专注于网络安全的平台,提供漏洞修补服务和安全建议。
LiteSpeed团队对此漏洞迅速响应,在8月13日发布的LiteSpeed Cache 6.4版本中包含了修复这个漏洞的补丁。通过这个更新,用户可以保护他们的网站不受此漏洞影响。
对于使用LiteSpeed Cache插件的WordPress网站管理员来说,建议立即更新至最新的6.4版本以修补这个关键漏洞。同时,应该定期检查插件和主题的更新,并遵循WordPress社区的最佳安全实践,如使用强密码和启用两因素认证等。
这一事件再次突显了定期更新和维护网站的重要性,以及与安全研究人员、安全公司和插件开发者进行合作的必要性。只有在各方共同努力下,我们才能维护网络安全并保护用户免受网络攻击。
