插件被曝关键漏洞：影响数百万网站

IT之家8月23日消息，科技媒体bleepingcomputer昨日（8月22日）发布博文，报道称LiteSpeedCacheWordPress插件存在“关键”漏洞，攻击者利用该漏洞可以创建恶意管理员账号，接管数百万WordPress网站。

LiteSpeedCache简介IT之家注：LiteSpeedCache是一款开源WordPress插件，也是最受欢迎的WordPress网站加速插件，拥有超过500万个有效安装，支持WooCommerce、bbPress、ClassicPress和YoastSEO。

漏洞介绍该漏洞追踪编号为CVE-2024-28000，是由LiteSpeedCache6.3.0.1及6.3.0.1版（含6.3.0.1版）中的弱散列检查引起的。

任何未经身份认证的用户利用该漏洞后，可以获得管理员级别的访问权限，插件被曝关键漏洞：影响数百万网站从而通过安装恶意插件、更改关键设置、将流量重定向到恶意网站、向访问者分发恶意软件或窃取用户数据，完全掌控网站。

安全研究员约翰-布莱克伯恩（JohnBlackbourn）于8月1日向Patchstack的漏洞悬赏计划提交了该漏洞。

LiteSpeed团队开发了一个补丁，并随8月13日发布的LiteSpeedCache6.4版本一起发布。