文/周峻佑 | 2024-09-11發表
資安業者Patchstack揭露WordPress網站加速外掛程式LiteSpeed Cache的嚴重漏洞CVE-2024-44000(CVSS風險評分為7.5),並指出攻擊者可在未經身分驗證的情況下,利用該漏洞得到已登入使用者的存取權限,若是掌握了管理員權限,駭客就能上傳、安裝惡意外掛程式。研究人員在8月下旬通報此事,9月4日外掛程式開發商發布6.5.0.1版予以修補。而這是他們找到權限提升漏洞CVE-2024-28000之後,另一個相當危險的弱點。
針對這項漏洞發生的原因,研究人員指出,出現在該外掛程式的除錯事件記錄功能當中,一旦開發人員啟用相關功能,會將HTTP回應標頭記錄到特定的檔案,其中包含Set-Cookie的標頭。
而這種標頭含有用於使用者身分驗證的cookie,若是攻擊者能夠取得,就有機會冒充網站管理員並控制網站。
攻擊者若要利用這項漏洞,基本上,須滿足兩個條件:一個是WordPress網站管理者使用LiteSpeed Cache外掛時,曾啟用除錯記錄功能,而且 /wp-content/debug.log 這個事件記錄檔案並未徹底清除或移除。
自一週前新版LiteSpeed Cache推出後,約有近413萬次下載、更新,換言之,部署這款外掛程式的600萬個網站,迄今仍有近200萬個可能曝露於相關風險。
精選專案.網頁設計.RWD響應式網站.企業形象網站 / 電子工業類
網站技術:PHP
精選專案.APP / 服務類
網站技術:PHP . iOS . Android/MySql
主要是處理不動產評估,包括土地建築物評估、土地資源評估、建築設備、廠房評估等。 若是民眾手上有任何的不動產物件,都可以請公會協助評估喔。
精選專案.網頁設計.RWD響應式網站.活動網站 / 醫療衛生類
網站技術:PHP . Javascript/MySql
你能相信每天上傳測量資料就可以獲得點數嗎? 搭配歐姆龍的血壓計或體脂計每日測量,在APP更新紀錄就可以獲得點數,可以透過點數兌換商品或是抽獎。
電話:(02)2739-9096 | 傳真:(02)2739-6637 | 客服:[email protected] | 臺北市信義區和平東路3段257號6樓map
© 2019 傑立資訊 All rights reserved.| 網站隱私政策