【安全资讯】CVE-2024-3246: LiteSpeed Cache插件漏洞威胁数百万WordPress网站

概要：

LiteSpeed Cache（LS Cache）插件被发现存在严重漏洞（CVE-2024-3246），该插件在超过五百万个WordPress网站上安装使用。此漏洞允许攻击者注入恶意代码，可能导致敏感数据泄露并控制受影响的网站。网站管理员需立即采取措施更新插件以防止潜在攻击。

主要内容：

LiteSpeed Cache插件被发现存在跨站请求伪造（CSRF）漏洞，原因是缺少或不正确的nonce验证。此漏洞使得未经身份验证的攻击者可以通过诱骗网站管理员点击恶意链接来利用该插件。一旦伪造请求被执行，攻击者可以更新令牌设置并注入恶意JavaScript代码，导致存储型跨站脚本攻击（XSS）。

在利用CVE-2024-3246的攻击中，黑客可以欺骗网站管理员点击精心制作的链接，从而触发CSRF漏洞，使攻击者能够更改插件设置并嵌入有害的JavaScript代码。该恶意脚本在管理员访问受影响的设置页面时执行，可能会危及网站及其访问者。任何使用LiteSpeed Cache插件版本6.2.0.1或更早版本的网站都面临风险。

鉴于该插件的广泛使用，数百万个WordPress网站可能容易受到这些攻击。网站所有者被强烈建议立即采取行动保护其网站：

立即更新：将LiteSpeed Cache插件更新到最新版本（6.3或更高），该版本包含此漏洞的修复。

检查是否被攻破：检查网站的用户账户是否有未经授权的管理员或可疑活动。

加强安全措施：实施额外的安全措施，如Web应用防火墙（WAF），以进一步保护网站免受潜在攻击。

四月，安全研究人员观察到针对旧版本LiteSpeed Cache插件的攻击激增。威胁行为者积极扫描使用5.7.0.1之前版本的WordPress网站，这些版本也易受高严重性未经身份验证的XSS漏洞（CVE-2023-40000，CVSS评分8.8）攻击。这些攻击者能够创建管理员账户并控制被攻破的网站。