文/周峻佑 | 2024-09-11發表

資安業者Patchstack揭露WordPress網站加速外掛程式LiteSpeed Cache的嚴重漏洞CVE-2024-44000(CVSS風險評分為7.5),並指出攻擊者可在未經身分驗證的情況下,利用該漏洞得到已登入使用者的存取權限,若是掌握了管理員權限,駭客就能上傳、安裝惡意外掛程式。研究人員在8月下旬通報此事,9月4日外掛程式開發商發布6.5.0.1版予以修補。而這是他們找到權限提升漏洞CVE-2024-28000之後,另一個相當危險的弱點。
針對這項漏洞發生的原因,研究人員指出,出現在該外掛程式的除錯事件記錄功能當中,一旦開發人員啟用相關功能,會將HTTP回應標頭記錄到特定的檔案,其中包含Set-Cookie的標頭。
而這種標頭含有用於使用者身分驗證的cookie,若是攻擊者能夠取得,就有機會冒充網站管理員並控制網站。
攻擊者若要利用這項漏洞,基本上,須滿足兩個條件:一個是WordPress網站管理者使用LiteSpeed Cache外掛時,曾啟用除錯記錄功能,而且 /wp-content/debug.log 這個事件記錄檔案並未徹底清除或移除。
自一週前新版LiteSpeed Cache推出後,約有近413萬次下載、更新,換言之,部署這款外掛程式的600萬個網站,迄今仍有近200萬個可能曝露於相關風險。
精選專案.網頁設計.RWD響應式網站.行動版網站.企業形象網站 / 醫療衛生類
網站技術:PHP . Javascript
提供專業輔具工具來幫助行動不便的民眾,協助他們提高自主生活同時減輕照護者負擔。 針對經常會搬運工作的用戶也有推出搬運使用的輔助裝,減少搬運人員腰部的負擔。 有需要的民眾可以在網站上申請體驗喔!!
精選專案.網頁設計.RWD響應式網站 / 教育人文類
網站技術:PHP/MySql
國語日報的粉絲們,可以在網站進行報紙的訂購喔! 透過報紙獲取新知、了解國家大事。本網站提供會員在線上訂購報紙,會員登入後可以觀看購買紀錄、訂單,可以利用ㄅ幣進行結帳。當然ㄅ幣需要先完成訂單才會有喔!
網頁設計.RWD響應式網站.行動版網站.企業形象網站 / 美容保養類
網站技術:PHP . Javascript/MySql
延伸品牌的黑色為網站整體視覺,蝴蝶飛舞的動態傳達出女性渴望美顏的心情,透過品牌就能蛻變美麗蝴蝶。主選單以繽紛彩色的圓餅和化妝品呼應,更完整呈現商品屬性。
傑立資訊事業有限公司電話:(02)2739-9096 | 傳真:(02)2739-6637 | 客服:[email protected] | 臺北市信義區和平東路3段257號6樓map
© 2019 傑立資訊 All rights reserved.| 網站隱私政策