科技媒体 bleepingcomputer 报道称 LiteSpeed Cache WordPress 插件存在“关键”漏洞，攻击者利用该漏洞可以创建恶意管理员账号，接管数百万 WordPress 网站。该漏洞追踪编号为 CVE-2024-28000，是由 LiteSpeed Cache 6.3.0.1 及 6.3.0.1 版（含 6.3.0.1 版）中的弱散列检查引起的。任何未经身份认证的用户利用该漏洞后，可以获得管理员级别的访问权限，从而完全掌控网站。LiteSpeed 团队开发了一个补丁，并随 8 月 13 日发布的 LiteSpeed Cache 6.4 版本一起发布。

🤔 漏洞简介：该漏洞追踪编号为 CVE-2024-28000，是由 LiteSpeed Cache 6.3.0.1 及 6.3.0.1 版（含 6.3.0.1 版）中的弱散列检查引起的。攻击者可以利用该漏洞创建恶意管理员账号，获得管理员级别的访问权限，从而完全掌控网站。

⚠️ 漏洞影响：攻击者可以利用该漏洞进行一系列恶意操作，包括安装恶意插件、更改关键设置、将流量重定向到恶意网站、向访问者分发恶意软件或窃取用户数据。

🛡️ 解决方案：LiteSpeed 团队开发了一个补丁，并随 8 月 13 日发布的 LiteSpeed Cache 6.4 版本一起发布。建议所有使用 LiteSpeed Cache 插件的用户尽快更新到最新版本，以确保网站安全。

💻 插件介绍：LiteSpeed Cache 是一款开源 WordPress 插件，也是最受欢迎的 WordPress 网站加速插件，拥有超过 500 万个有效安装，支持 WooCommerce、bbPress、ClassicPress 和 Yoast SEO。

IT之家 8 月 23 日消息，科技媒体 bleepingcomputer 昨日（8 月 22 日）发布博文，报道称 LiteSpeed Cache WordPress 插件存在“关键”漏洞，攻击者利用该漏洞可以创建恶意管理员账号，接管数百万 WordPress 网站。

LiteSpeed Cache 简介

IT之家注：LiteSpeed Cache 是一款开源 WordPress 插件，也是最受欢迎的 WordPress 网站加速插件，拥有超过 500 万个有效安装，支持 WooCommerce、bbPress、ClassicPress 和 Yoast SEO。

漏洞介绍

该漏洞追踪编号为 CVE-2024-28000，是由 LiteSpeed Cache 6.3.0.1 及 6.3.0.1 版（含 6.3.0.1 版）中的弱散列检查引起的。

任何未经身份认证的用户利用该漏洞后，可以获得管理员级别的访问权限，从而通过安装恶意插件、更改关键设置、将流量重定向到恶意网站、向访问者分发恶意软件或窃取用户数据，完全掌控网站。

安全研究员约翰-布莱克伯恩（John Blackbourn）于 8 月 1 日向 Patchstack 的漏洞悬赏计划提交了该漏洞。

LiteSpeed 团队开发了一个补丁，并随 8 月 13 日发布的 LiteSpeed Cache 6.4 版本一起发布。