LiteSpeed Cache 插件中的严重漏洞正遭利用

于 2024-08-26 17:58:21 发布
阅读量7 收藏
点赞数
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247520597&idx=1&sn=9b3ac1b3b69c7d221bc720fd7a3db778&chksm=eb9b0b9b9a31ceac8ea5fd9fc93fdf09c8e7d54985f565b699410c627916783d72a731b9eb5f&scene=126&sessionid=0
版权

cc870087161eea80609173a19d7833c5.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

黑客正在利用 WordPress 插件 LiteSpeed Cache 中的一个严重漏洞 (CVE-2024-28000),而距离技术详情公开仅一天的时间。

LiteSpeed Cache 是一款用于加速响应时间的插件。攻击者可在无需认证的情况下,在其6.3.0.1及之前版本上实现提权。该漏洞产生的原因是模拟特性中存在弱哈希检查,可被攻击者暴力破解哈希值,创建恶意管理员账户,从而完全控制受影响网站,安装恶意插件、修改重要设置、将流量重定向至恶意网站并窃取用户数据。

Patchstack 公司的研究员 Rafie RMuhammad 共享了如何触发哈希生成的详情,展示了如何暴力破解哈希以提升权限,之后通过 REST API 创建新的管理员账户。

Muhammad 的方法表明,暴力破解可以每秒三个请求的速度遍历所有100万个可能得安全哈希值,并仅需几小时或最多一周的时间,就能够以任何用户ID的身份获得站点访问权限。

LiteSpeed Cache 用于500多万个网站。截止目前,仅有30%的站点运行安全版本,即数百万个易受攻击的网站成为攻击面。

WordPress 安全公司 Wordfence 报道称,在过去24小时内检测并拦截了针对该漏洞的超过48500次攻击,反映了密集的利用活动。Wordfence 公司的研究员 Chloe Charmberland 提醒称,“毫无疑问,该漏洞将很快遭活跃利用。”

这是今年黑客第二次针对 LiteSpeed Cache。五月份,攻击者利用一个跨站点脚本漏洞 (CVE-2023-40000) 创建恶意管理员账户并接管易受攻击的网站。当时,WPScan 报道称,威胁行动者们在4月份开始扫描目标,从单个恶意IP地址检测到超过120万次。

建议 LiteSpeed Cache 用户尽快升级至最新可用版本,或者从网站卸载该插件。

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

WordPress 插件被安后门,用于发动供应链攻击

WordPress 插件 Forminator 中存在严重漏洞,影响30多万站点

WordPress 插件 LiteSpeed 漏洞影响500万个站点

备份插件存在严重RCE漏洞,可导致WordPress网站遭接管

黑客利用WordPress 插件中的提权0day攻陷网站

原文链接

https://www.bleepingcomputer.com/news/security/hackers-are-exploiting-critical-bug-in-litespeed-cache-plugin/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

a5c8c62d507224481b94533269825537.jpeg

debaee8a478a637c12c911baaacf3385.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   1ce0f8357e8d692883cceb46ddeb0d8b.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【信息收集】——3、信息收集指南
Fly_鹏程万里
02-26 4万+
无意发现了一个巨牛巨牛的人工智能教程,忍不住分享一下给大家。教程不仅是零基础,通俗易懂,小白也能学,而且非常风趣幽默,还时不时有内涵段子,像看小说一样,哈哈~我正在学习,觉得太牛了,所以分享给大家。点这里可以跳转到教程! 前言 本系列文章只做技术研究与分享,如有恶意利用文章提及的技术做网络攻击,造成的法律责任,作者概不负责! 安全问题的本质 安全问题的本质是“信...
滥用 ESI 详解(上)
systemino的博客
10-10 2417
在进行安全性评估时,我们注意到了标记语言 Edge Side Includes (ESI)的一个意外行为,这种语言用于许多流行的 HTTP 代理(反向代理、负载平衡器、缓存服务器、代理服务器)。 我们发现成功的 ESI 攻击可以导致服务器端请求伪造(SSRF)、各种绕过 HTTPOnly cookie 缓解标志的跨站脚本向量(XSS)和服务器端分布式拒绝服务攻击。 我们称这种技术为 ESI 注入...
WordPress 插件 LiteSpeed 漏洞影响500万个站点
smellycat000的专栏
02-28 152
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士WordPress 插件 LiteSpeed Cache 存在一个漏洞,可导致未认证用户提升权限。该漏洞的编号是CVE-2023-40000,已在2023年10月的5.7.0.1版本修复。Patchstack 公司的研究员 Rafie Muhammad 表示,“该插件易受未认证的站点存储型XSS漏洞的影响,可导致未认证用户窃取敏感信息,在本案...
“幽灵“再临!新型攻击瞄准英特尔CPU;微软Outlook漏洞被俄利用,网络间谍攻击捷克德国实体 | 安全周报0510
weixin_55163056的博客
05-10 1254
俄罗斯支持的APT28组织通过电子邮件对波兰政府机构进行恶意软件攻击,利用伪装和重定向诱导受害者下载恶意软件,使用DLL侧加载技术隐藏执行脚本。研究人员发现两种攻击方法,针对英特尔CPU,可泄露密钥和数据,称为“探路者”,能读取并操纵CPU分支预测器,对AES算法构成威胁。黑客利用WordPress LiteSpeed插件漏洞(CVE-2023-40000)在易受攻击网站上创建恶意管理员账户,提升未验证用户权限。
你有用 WordPress 的这款缓存插件吗?新漏洞允许黑客获取管理员权限并上传恶意文件和插件
TOPSTIP的博客
08-24 105
一款名为 LiteSpeed Cache 的 WordPress 缓存插件存在严重漏洞,该扩展插件有超过 500 万的安装量。该漏洞允许黑客获取管理员权限并上传恶意文件和插件。该插件被发现后先报告给了 WordPress 的安全公司 Patchstack,该公司通知了 LiteSpeed Cache 插件开发人员,并在漏洞被修补后才对外公布。根据 Patchstack WordPress Bug Bounty 漏洞报告奖励计划,该漏洞报告人员将获得 14400 美元的奖励。
【工具】Nmap
尚未佩妥剑 转眼便江湖
12-02 7961
Nmap工具帮助说明 语法: nmap [扫描类型] [选项] [目标规范] 目标规范 可以传递主机名、IP地址、域名等。可以指定单个IP或IP段 eg:192.168.1.0/24、192.168.1.1,2,3-15 -iL <filename>:从文件导入扫描目标 eg:nmap -iL ip.txt -iR <num hosts>:随机选择目标,参数指定N...
nmap扫描工控设备的脚本支持
小人物的编程
04-29 1083
介绍了nmap脚本使用
WordPress教程 – WordPress新手指南(2021)
桜丸子的博客
04-21 5695
在本WordPress教程,您将找到使用WordPress创建网站所需的一切。从安装到备份,我们涵盖了所有内容。 2003年5月27日,WordPress首次面世。创始人是马特·穆伦维格和迈克·利特尔。 WordPress可以被称为是基于PHP和MySQL编程语言的在线开源站点构建工具。在更高级的术语,它被称为内容管理系统(CMS)。 当WordPress首次推出时,它只有几个用户,但随着时间的推移,它成长为世界上最大、最受欢迎的CMS。今天,WordPress正在为超过7500万个网站提供支持。 20
HostArmada 2024权威评测:这个主机好得不那么真实?分享真实使用经历
老张知识分享
07-29 156
价格合理的共享主机计划。包括网站速度优化。免费域名和网站迁移。提供自动免费SSL证书。45 天退款保证。无限电子邮件地址,但有邮箱大小限制。包括 SSD 存储和安全防火墙。全球九个数据心。
lscache_wp:适用于WordPress的LiteSpeed缓存
02-05
LiteSpeed Cache(lscache)是专为WordPress设计的一款高效缓存插件,旨在显著提升网站性能,减少服务器负载,提高用户体验。这款插件充分利用LiteSpeed Web Server和其关联的LSIO PHP加速器的特性,实现了页面...
LiteSpeed服务器用htaccess的防盗链代码
09-11
针对描述的问题,用户需要在LiteSpeed服务器上实现防盗链功能,防止其他网站未经许可引用其服务器上的资源,如图片(jpg、jpeg、gif、png、bmp)和CSS文件。通常,防盗链是通过检查HTTP请求头的`HTTP_REFERER`字段...
全能的SQL Server备份帮手——LiteSpeed.pdf
09-19
LiteSpeed是一款由Quest公司出品的数据库备份工具,它针对的是微软SQL Server数据库的备份与恢复需求,旨在提供一种高效的备份解决方案,特别是在面对大数据量备份时能够显著减少备份时间与空间占用,并确保数据的...
LiteSpeed Cache: WordPress all-in-one 站点加速缓存插件
今安在
07-13 2925
适用于WordPress的LiteSpeed Cache(LSCWP)是一个 all-in-one 的站点加速插件,具有独特的服务器级缓存和一系列优化功能。 LSCWP支持WordPress Multisite,并与大多数流行的插件兼容,包括WooCommerce,bbPress和Yoast SEO。 要求 任何Web服务器(LiteSpeed,Apache,NGiNX等)都可以使用一般...
ant-design-vue-1.1.10-beta.zip
08-26
基于 Ant Design 和 Vue 的企业级 UI 组件库
基于flask实现的社交博客项目--《FlaskWeb开发》.zip
最新发布
08-26
基于flask实现的社交博客项目--《FlaskWeb开发》.zip
校园二手交易平台小程序源码 (优秀毕业设计源码)
08-26
1. 校园二手交易平台小程序代码说明:经导师指导并认可通过的98分毕设项目代码。 2.适用对象:本代码学习资料适用于计算机、电子信息工程、数学等专业正在做毕设的学生,需要项目实战练习的学习者,也适用于课程设计、期末大作业。 3.技术栈:java,项目代码都经过严格调试,代码没有任何bug! 4. 作者介绍:大厂码农,java领域创作者,阿里云开发社区乘风者计划专家博主,专注于大学生项目实战开发,文章底部有博主联系方式,更多优质系统、项目定制请私信。 5. 最新计算机软件毕业设计选题大全: https://blog.csdn.net/weixin_45630258/article/details/135901374
ant-design-vue-3.1.0.zip
08-26
基于 Ant Design 和 Vue 的企业级 UI 组件库
399、基于单片机protues仿真的多功能计步器设计(仿真图、源代码、讲解视频)
08-26
399、基于单片机protues仿真的多功能计步器设计(仿真图、源代码、讲解视频) 计步器功能的实验测试: 采用USB电源线连接移动电源给系统进行供电。首先打开电源开关,系统初始化后,将开始进行计步。在液晶显示屏上输入用户的身高体重,然后佩戴计步器步行,开始测试行走步数、速度以及消耗卡路里。计步器实物图及介绍如下, 按键从左到右依次是: ⑴设置键:按下按键进入设置身高体重页面; ⑵加值键:设置时,按下该按键对应参数+1 ; ⑶ 减值键:设置时,按下该按键对应参数-1 ; ⑷ 复位键:按下该按键单片机复位。 实际测试效果如下: (1)实物联电后打开开关的初始状态如图5-3所示。“V”代表当前瞬时速度,“B”代表当前行走步数,代表当前行走里程,代表当前行走所消耗的卡路里。 (2)按下按键1设置键设置身高170cm ,再按下按键1设置体重48kg ,设置好后再按一下退出。 ⑶ 检测运动后的实验图如图5-6所示,传感器采集到的运动加速度,显示步数为,总里程为,瞬时速度为,消耗的卡路里为。瞬时速度在停下运动后,逐渐降为0。其他示数不变。 ⑷ 按下右侧复位键后的实验图如图5-7所示,行走步
世界上使用率最高的几款WEB服务器都有哪些?
09-23
### 回答1: 在全球范围内,使用率最高的几款 WEB 服务器包括: 1. Apache HTTP Server:是目前使用率最高的 WEB 服务器,具有高度可配置性和强大的功能集。 2. Microsoft IIS:是微软公司提供的 WEB 服务器,主要运行在 Windows 操作系统上。 3. nginx:是一种轻量级的 WEB 服务器,在高并发环境下表现优异。 4. Google Cloud Platform:是谷歌公司的云计算平台,提供了各种 WEB 服务器和应用服务器选项。 这几款 WEB 服务器都具有广泛的应用,并且在全球范围内使用率都很高。 ### 回答2: 世界上使用率最高的几款WEB服务器包括Apache HTTP Server、Nginx、Microsoft Internet Information Services(IIS)和LiteSpeed。 1. Apache HTTP Server(简称Apache)是目前使用率最高的WEB服务器之一。它是一个开源软件,支持多种操作系统,如Linux、Windows、Mac等。Apache具有可靠稳定、模块化灵活、性能高效等特点,广泛应用于互联网和企业应用。 2. Nginx是一款轻量级、高性能的WEB服务器和反向代理服务器。它主要用于处理静态资源和高并发请求,具有占用系统资源少、响应速度快、支持动态扩展等优势。Nginx在互联网企业被广泛应用,如腾讯、京东等公司都采用了Nginx作为主要的WEB服务器。 3. Microsoft Internet Information Services(IIS)是微软公司开发的WEB服务器软件。它是Windows操作系统的一部分,和Windows Server集成在一起。IIS具有易用性强、与其他微软产品兼容性好等特点,广泛用于小型企业和个人网站搭建。 4. LiteSpeed是一款高性能的商业WEB服务器软件。它具有卓越的性能和扩展性,支持高并发访问、缓存功能和动静分离等特点。LiteSpeed的用户范围广泛,包括企业网站、大型门户网站等。 这些WEB服务器在世界范围内都具有很高的市场占有率,根据不同的应用场景和需求,人们可以选择适合自己的服务器来搭建和管理网站。 ### 回答3: 世界上使用率最高的几款WEB服务器主要有Apache HTTP Server、Nginx、Microsoft IIS和LiteSpeed等。 1. Apache HTTP Server:Apache是目前全球最流行的WEB服务器软件之一,广泛应用于互联网以及企业内部的WEB服务。它具有开源免费、稳定可靠、模块化设计等特点,支持多种操作系统和编程语言,是众多网站和应用程序首选的WEB服务器。 2. Nginx:Nginx是一个高性能的开源WEB服务器和反向代理服务器,也被广泛应用于互联网和应用开发。Nginx具有轻量级、高并发、内存占用低等特点,能够处理大量的并发连接,适合高负载的WEB服务场景。 3. Microsoft IIS:Microsoft IIS是微软开发的WEB服务器软件,主要针对Windows操作系统,是Windows Server操作系统的一部分。它在Windows环境下提供了可靠的WEB服务,支持ASP.NET和其他微软相关技术,适合企业内部部署。 4. LiteSpeedLiteSpeed是一款快速高效的商业WEB服务器软件,具有高性能、低资源消耗的特点。它与Apache兼容,可作为Apache的替代品使用,能够提供更好的性能和稳定性。 这些WEB服务器都有着广泛的应用领域和用户基础,根据不同的需求和场景,选取适合的WEB服务器可以提供更好的性能和安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值