近日，有研究人員在插件的用戶模擬功能中發現了未經身份驗證的權限升級漏洞 (CVE-2024-28000)，該漏洞是由 LiteSpeed Cache 6.3.0.1 及以下版本中的弱散列檢查引起的。這個漏洞可能會讓攻擊者在創建惡意管理員賬戶后接管數百萬個網站。

LiteSpeed Cache 是開源的，也是最流行的 WordPress 網站加速插件，擁有超過 500 萬的活躍安裝量，支持 WooCommerce、bbPress、ClassicPress 和 Yoast SEO。

本月初，安全研究員John Blackbourn向Patchstack的漏洞懸賞計劃提交了該漏洞。 LiteSpeed團隊開發了補丁，并在 8月13日發布的LiteSpeed Cache 6.4版本中一并提供。

一旦有攻擊者成功利用該漏洞，任何未經身份驗證的訪問者都可以獲得管理員級別的訪問權限，從而通過安裝惡意插件、更改關鍵設置、將流量重定向到惡意網站、向訪問者分發惡意軟件或竊取用戶數據等方式，從而完全控制運行易受攻擊的 LiteSpeed Cache 版本的網站。

Patchstack 安全研究員Rafie Muhammad本周三（9月21日）解釋稱：目前我們能夠確定，暴力攻擊會遍歷安全散列的所有 100 萬個已知可能值，并將它們傳遞到 litespeed_hash cookie 中，即使以相對較低的每秒 3 個請求的速度運行，也能在幾小時到一周內以任何給定用戶 ID 的身份訪問網站。

唯一的先決條件是需要知道管理員級用戶的 ID，并將其輸入 litespeed_role cookie。確定這樣一個用戶的難度完全取決于目標網站，在許多情況下，用戶 ID 為 1 就能成功。

雖然開發團隊在上周發布了解決這一關鍵安全漏洞的版本，但根據 WordPress 官方插件庫的下載統計顯示，該插件的下載次數僅略高于 250 萬次，這可能導致一半以上使用該插件的網站受到攻擊。

今年早些時候，攻擊者利用 LiteSpeed Cache 的一個未經驗證的跨站腳本漏洞（CVE-2023-40000）創建了惡意管理員用戶，并獲得了對脆弱網站的控制權。

今年 5 月，Automattic 的安全團隊 WPScan 曾發布警告稱，威脅者在看到來自一個惡意 IP 地址的 120 多萬次探測后曾在4月對目標進行了大量掃描。

他們強烈建議用戶盡快用最新的 Litespeed Cache 補丁版本更新自己的網站。Wordfence威脅情報主管Chloe Chamberland今天也警告稱：這個漏洞被利用的風險性極高。

今年 6 月，Wordfence 威脅情報團隊還報告稱，一名威脅行為者在 WordPress.org 上至少后門了五個插件，并添加了惡意 PHP 腳本，以便在運行這些插件的網站上創建具有管理員權限的賬戶。