据香港IDC新天域互联认识,近期,WordPress社区内出现了一块重大的安全事件:广泛运用的缓存插件LiteSpeed Cache被曝出存在严重漏洞,影响全世界超过500万个网站。这一漏洞被标记为CVE-2024-28000,CVSS评分高达9.8,寓意着其危害程度极高。网络安全机构Patchstack和Wordfence均对此进行了警告,强调用户应尽快更新插件以防止潜在攻击。
LiteSpeed Cache插件的重点功能是加速网站响应时间,但其内部的用户模拟功能存在缺陷,攻击者可经过该功能伪装成管理员,获取未授权的管理权限。详细而言,攻击者能够利用该插件中的弱安全哈希,模拟用户ID,从而创建一个拥有管理员权限的新账户。这一过程乃至不需要身份验证,极重地增多了网站被攻陷的危害。
尽管LiteSpeed Cache的研发商已然在8月13日发布了修复版本6.4,但截止日前,仍有近40%的用户未即时更新,作为黑客的攻击目的。按照Wordfence的数据表示,在过去24小时内,她们已发掘并封锁了超过51,000起针对这一漏洞的攻击尝试。这一状况显示,黑客对该漏洞的利用已然形成为了规模,针对LiteSpeed Cache的攻击活动正在快速增多。
Patchstack对此漏洞的发掘与修复过程中,向关联的安全科研人员供给了14,400美元的奖励,以鼓励更加多的漏洞报告和修复。这一措施不仅表现了对安全科研的注重,亦表示了插件研发方对用户安全的积极态度。
用户应立即检测自己网站上安装的LiteSpeed Cache插件版本,若版本在6.3.0.1及以下,务必尽快更新至最新版本,以防止潜在的安全危害。另外,定时对网站进行安全检测和更新插件亦是守护网站安全的重要办法。
此次LiteSpeed Cache插件的漏洞事件,再次提醒咱们网络安全的重要性。随着科技的持续发展,网络攻击手段亦日益多样化,网站管理员必须保持警觉,保证即时更新和守护网站安全。对用户而言,守护良好的安全习惯,如定时更新插件、运用强秘码及启用双重验证等,都是守护网站的有效办法。期盼经过此次事件,能够导致更加多用户对网络安全的关注和注重。返回搜狐,查看更加多
责任编辑:网友投稿
|