科技媒體 bleepingcomputer 昨日(8 月 22 日)發布博文，報道稱 LiteSpeed Cache WordPress 插件存在“關鍵”漏洞，攻擊者利用該漏洞可以創建惡意管理員賬號，接管數百萬 WordPress 網站。

　　LiteSpeed Cache 簡介

　　IT之家注：LiteSpeed Cache 是一款開源 WordPress 插件，也是最受歡迎的 WordPress 網站加速插件，擁有超過 500 萬個有效安裝，支持 WooCommerce、bbPress、ClassicPress 和 Yoast SEO。

　　漏洞介紹

　　該漏洞追蹤編號為 CVE-2024-28000，是由 LiteSpeed Cache 6.3.0.1 及 6.3.0.1 版(含 6.3.0.1 版)中的弱散列檢查引起的。

　　任何未經身份認證的用戶利用該漏洞后，可以獲得管理員級別的訪問權限，從而通過安裝惡意插件、更改關鍵設置、將流量重定向到惡意網站、向訪問者分發惡意軟件或竊取用戶數據，完全掌控網站。

　　安全研究員約翰-布萊克伯恩(John Blackbourn)于 8 月 1 日向 Patchstack 的漏洞懸賞計劃提交了該漏洞。

　　LiteSpeed 團隊開發了一個補丁，并隨 8 月 13 日發布的 LiteSpeed Cache 6.4 版本一起發布。