WordPress 插件 LiteSpeed 漏洞影响500万个站点

最新推荐文章于 2024-06-24 18:29:41 发布
最新推荐文章于 2024-06-24 18:29:41 发布
阅读量153 收藏
点赞数
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247518947&idx=3&sn=a79e0235f3e78c2f4980247b4e0a365d&chksm=ebf0653ca741ad35897110b97daeb56fe926ccdc96d2653d17646ba4a80cb54fee949f9f76d6&scene=126&sessionid=0
版权

2efe556e7a4804844eadb56f2c0104cd.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

WordPress 插件 LiteSpeed Cache 中存在一个漏洞,可导致未认证用户提升权限。该漏洞的编号是CVE-2023-40000,已在2023年10月的5.7.0.1版本中修复。

207550be2c6bd4f1728141d40c3d20b9.gif

Patchstack 公司的研究员 Rafie Muhammad 表示,“该插件易受未认证的站点存储型XSS漏洞的影响,可导致未认证用户窃取敏感信息,在本案例中这样做的目的是通过执行单个 HTTP 请求提升在 WordPress 网站上的权限。”

LiteSpeed Cache 用于改进站点性能,安装量已超过500万次。该插件的最新版本是6.1,于2024年2月5日发布。

研究人员指出,该漏洞是因为缺少用户输入清理和逃逸输出造成的,根因在于名为 “update_cdn_status()” 的函数且可在默认安装程序中复现。Muhammad 表示,“由于XSS payload 被作为管理员通告,而该通告可在任何 wp-admin端点上展示,因此该漏洞也可由能够访问 wp-admin 区域的任何用户轻松触发。”

四个月之前,Wordfence 披露了位于该插件中的另外一个XSS漏洞(CVE-2023-4372,CVSS评分6.4),已在5.7版本中修复。具有贡献者级别和更高权限的认证攻击者能够将任意 web 脚本注入页面中,每当用户访问被注入的页面时就会执行这些脚本。

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

备份插件存在严重RCE漏洞,可导致WordPress网站遭接管

黑客利用WordPress 插件中的提权0day攻陷网站

WordPress 紧急修复影响数百万网站 Jetpack 插件中的严重漏洞

WordPress 热门插件中存在漏洞,200多万网站受影响

PHP Everywhere 插件中存在严重RCE,影响数千个 WordPress 站点

原文链接

https://thehackernews.com/2024/02/wordpress-litespeed-plugin.html

题图:Pexels License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

a9038058754f8cce3c1cb3f441f99ff4.jpeg

c683288dc4f4638ec60dfd75a31dbbd3.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   754d6df86361a543b90146aa733ac2a8.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
WordPress外贸站必装的几个插件
叶子叶来
02-02 751
插件和主题臃肿会造成wordpress访问龟速,即使用的是siteground的已优化的wordpress,使用阿里搭建的就更不用说了,每次更新主题theme后,主题的home和footer的page和其他信息会自动保存(因此主题选择要稳准狠,选择后就不要再频繁更换),插件更应该如此,选择必备的几个插件,不要装那些花里胡哨的工具插件,这里介绍的有缓存优化插件LiteSpeed Cache,图片清理插件Media Cleaner,主题插件Blocksy等;
LiteSpeed Cache: WordPress all-in-one 站点加速缓存插件
今安在
07-13 2928
适用于WordPressLiteSpeed Cache(LSCWP)是一个 all-in-one 的站点加速插件,具有独特的服务器级缓存和一系列优化功能。 LSCWP支持WordPress Multisite,并与大多数流行的插件兼容,包括WooCommerce,bbPress和Yoast SEO。 要求 任何Web服务器(LiteSpeed,Apache,NGiNX等)都可以使用一般...
LiteSpeed Web Server Source Code Information Disclosure Vulnerability
cnbird's blog
06-15 946
LiteSpeed Web Server Source Code Information Disclosure Vulnerability
使用LiteSpeed缓存插件WordPress优化到100%的得分
吾店建站
06-24 1199
页面速度优化应该是每个网站所有者的首要任务,因为它直接影响WordPress SEO。此外,网站加载的时间越长,其跳出率就越高。这可能会阻止您产生转化并为您的网站带来流量。 使用正确的工具和配置,缓存您的网站可以显着提高其性能。因此,我们将向您展示如何使用 LiteSpeed Technologies 提供的LiteSpeed缓存插件来优化您的页面得分。 我们已经测试了LiteSpeed缓存插件并配置了三个不同网站的设置。本文将引导您完成我们为获得最佳结果而应用的配置。
广为使用的OpenLiteSpeed web服务器软件受多个高危漏洞影响
smellycat000的专栏
11-14 485
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士开源的OpenLiteSpeed Web Server 及其企业版本中存在多个高危漏洞,可被用于实现远程代码执行。Palo Alto Networks Unit 42 发布报告称,“通过结合利用这些漏洞,攻击者可攻陷这些 web 服务器并获得完整的远程代码执行权限。” OpenLiteSpeedLiteSpeed Web Server 的开源...
WordPress在NGINX和Litespeed下的性能对比测试
demo_top的博客
10-22 1417
都说Wordpresslitespeed下的表现要好于NGINX,但是很少看到有人做测试,于是我来做一个对比测试 测试平台 主机:腾讯云轻量HK1C2G版 WordPress版本:5.3 压力测试平台:https://loader.io/ 默认主题,文章为纯文字,txt文档下为34K 腾讯云最近做活动每天上午10点-10点半之间都有199-100劵放出,有需要的可以领一下购买 腾讯云学生活动也很不错,25岁以下1核2G5M的轻量VPS只要9块/月 25岁以下自动获得学生资格,25岁以上可以进行学生认证
lscache_wp:适用于WordPressLiteSpeed缓存
02-05
总的来说,lscache_wp是WordPress用户提高网站性能的理想选择,尤其适合那些运行在 LiteSpeed Web Server 上的高流量站点。通过智能缓存和资源优化,它能显著改善用户体验,降低服务器压力,对于网站的长期发展和...
LiteSpeed服务器用htaccess的防盗链代码
09-11
LiteSpeed Web Server 是一款高性能、轻量级的Web服务器软件,它与Apache相似但并不完全兼容,尤其在处理`.htaccess`配置文件时。Apache的`.htaccess`文件用于提供对网站目录的控制,包括重写URL、设置访问权限、...
vulnhub-durian
HEAVEN569的博客
02-14 834
靶机:durian 下载地址:http://www.vulnhub.com/entry/durian-1,553/ 实验机:kali 2020 windows 10 1.信息收集 1.nmap信息收集 sudo nmap -sS -sV -sC 10.7.184.0/24 //收集信息 得到信息 目标的ip:10.7.184.6 开启的端口和服务 22/tcp ssh , 80/tcp http ,8088/tcp radan-http 7080/t......
性能之选:2024年最令人期待的开源Web服务器
网络技术联盟站
01-19 837
本文详细介绍了2024年8款最佳开源Web服务器,每个服务器都具有独特的特点和适用场景。历史悠久,稳定可靠。模块化架构提供灵活性。广泛的操作系统支持。Nginx高并发处理能力,轻量级设计。用于负载均衡和反向代理。简洁的配置语法。Lighttpd轻量级设计,适用于资源受限环境。高性能特性,特别擅长静态文件服务。灵活的配置文件。Caddy自动化HTTPS配置。简化的Caddyfile配置。适用于容器化环境。TomcatJava Servlet容器,适用于Java应用程序。
磁盘缓存 supercache 4.5 +keygen
05-31
磁盘缓存 supercache 4.5 +keygen,亲测可用
Vulnhub-Durian
YangYubo091699的博客
08-08 359
Vulnhub靶机之Durian
BT面板OpenLiteSpeed安装LiteSpeed Web+ wordpress+ LSCache插件+Redis 这样wp博客站速度可以起飞
云博客_资源宝分享
03-27 4843
1、什么OpenLiteSpeed ? OpenLiteSpeedLiteSpeed EnterPrise 的社区版本,相较 Nginx 很多扩展如 Brotli、nginx-cache-purge 等扩展,会因为更新的不及时导致对最新Stable版本的不支持,同时也没有企业级的保障。 而 OpenLiteSpeed 的组件有官方进行主要维护和更新,提供商用企业级的体验。在性能上LiteSpeed Tech 提供的 BenchMark 中,在 WordPress、Joomla、OpenCart、Mod
Litespeed添加和管理虚拟主机教程
cnbird's blog
02-18 1810
Litespeed添加和管理虚拟主机教程
lxml-5.0.1-cp37-cp37m-win32.whl
08-31
lxml 是一个用于 Python 的库,它提供了高效的 XML 和 HTML 解析以及搜索功能。它是基于 libxml2 和 libxslt 这两个强大的 C 语言库构建的,因此相比纯 Python 实现的解析器(如 xml.etree.ElementTree),lxml 在速度和功能上都更为强大。 主要特性 快速的解析和序列化:由于底层是 C 实现的,lxml 在解析和序列化 XML/HTML 文档时非常快速。 XPath 和 CSS 选择器:支持 XPath 和 CSS 选择器,这使得在文档中查找特定元素变得简单而强大。 清理和转换 HTML:lxml 提供了强大的工具来清理和转换不规范的 HTML,比如自动修正标签和属性。 ETree API:提供了类似于 ElementTree 的 API,但更加完善和强大。 命名空间支持:相比 ElementTree,lxml 对 XML 命名空间提供了更好的支持。
slim-0.5.8-py3-none-any.whl
08-31
whl软件包,直接pip install安装即可
【赠】新营销4.0:新营销,云时代(PDF).pdf
最新发布
08-31
【赠】新营销4.0:新营销,云时代(PDF)
codsys的FileOpenSave文件的读取与保存
08-31
里面有网盘资料!!!!!有例程,不用担心实现不了。 保证利用codesys的FileOpenSave功能块进行读取和下载文件。 目的:使用FileOpensave进行操作,保证项目的可执行性。
广泛使用的web服务器
02-10
2. Nginx是另一个广泛使用的开源Web服务器软件。它以高性能和低内存消耗而闻名,常用于处理静态资源和反向代理。 3. Microsoft IIS(Internet Information Services)是微软开发的Web服务器软件,主要用于Windows...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值