WordPress LiteSpeed Cache 插件高危漏洞警告

关键要点

漏洞类型：CVE202450550，未认证的权限升级缺陷影响范围：LiteSpeed Cache 插件，影响超过600万网站攻击方式：利用插件爬虫功能中的配置，进行权限提升和其他恶意活动建议：加强安全哈希检查，避免使用易被预测的随机数生成函数

根据The Hacker News的报道，攻击者可能会利用已修复的 LiteSpeed Cache 插件中的高危未认证权限升级漏洞CVE202450550，进行权限提升及其他恶意活动。

漏洞详情

这一漏洞源于安全哈希检查的不足，容易受到暴力破解。根据 Patchstack 的报告，当激活插件的爬虫功能中的特定配置时，该漏洞可能被成功利用。研究人员 Rafie Muhammad 指出：“这个漏洞凸显了确保用于安全哈希或 nonce 值的强度和不可预测性的重要性。PHP 中的 rand() 和 mtrand() 函数返回的值对于许多使用场景来说可能是‘足够随机的’，但在安全相关特性中并不够不可预测，尤其是当 mtsrand 的可能性有限时。”

风险与影响

LiteSpeed 插件目前已在超过六百万个网站上使用，且之前已被报导受到了其他高危漏洞的影响，比如 CVE202444000 和 CVE202447374。这些漏洞不仅引发了管理者的关注，也让用户对网站安全性产生了担忧。

蚂蚁加速安卓

结论

若尚未更新 LiteSpeed Cache 插件的用户，建议立刻进行更新以避免潜在的安全风险。同时，网站管理员应加强对安全哈希和nonce的管理，以提高整体安全性。