流行的 WordPress LiteSpeed Cache 插件中存在一个漏洞,可能允许攻击者检索用户 cookie 并可能接管网站。
该问题被跟踪为 CVE-2024-44000,之所以存在,是因为该插件在用户登录请求后会在调试日志文件中包含 set-cookie 的 HTTP 响应标头。
由于调试日志文件是可公开访问的,因此未经身份验证的攻击者可以访问文件中公开的信息,并获取其中存储的任何用户Cookie。
这将允许攻击者以会话 Cookie 泄露的任何用户(包括管理员)身份登录受影响的网站,这可能导致网站接管。识别并报告安全缺陷的 Patchstack 认为该漏洞为“严重”,并警告说,如果调试日志文件尚未清除,它会影响至少启用调试功能的任何网站。
此外,漏洞检测和补丁管理公司指出,该插件还具有日志 Cookie 设置功能,如果启用,也可能泄露用户的登录 Cookie。
只有在开启调试功能的情况下才会触发漏洞。然而,WordPress 安全公司 Defiant 指出,默认情况下,调试是禁用的。
为了解决该漏洞,LiteSpeed 团队将调试日志文件移动到插件的单个文件夹中,为日志文件名实施了一个随机字符串,并删除了 Log Cookies 选项,从响应标头中删除了与 cookie 相关的信息,并在调试目录中添加了一个虚拟 index.php 文件。
“此漏洞凸显了确保执行调试日志过程的安全性、不应记录哪些数据以及如何管理调试日志文件的极端重要性。一般来说,我们强烈建议不要使用插件或主题将与身份验证相关的敏感数据记录到调试日志文件中,“Patchstack 指出。
CVE-2024-44000 已于 9 月 4 日随着 LiteSpeed Cache 版本 6.5.0.1 的发布得到解决,但数百万个网站可能仍会受到影响。
根据 WordPress官方的统计,该插件在过去两天的下载量约为 150 万次。由于 LiteSpeed Cache 的安装量超过 600 万次,似乎仍有大约 450 万个网站需要针对此错误进行修补。