近日,流行的 WordPress 插件 LiteSpeed Cache 被曝出存在一个严重的安全漏洞(CVE-2024-44000),可能使攻击者检索用户 Cookie,进而接管网站。该漏洞是由于插件在启用调试功能后,会在调试日志文件中记录 set-cookie 的 HTTP 响应标头。由于这些调试日志文件可以被公开访问,未经身份验证的攻击者可以轻易提取其中存储的用户 Cookie,进而冒充受害者(包括管理员)登录网站,导致网站被接管的风险。
该漏洞源自调试日志文件“/wp-content/debug.log”被公开访问的事实。攻击者通过查看此文件,能够获取其中包含的敏感信息,包括 HTTP 响应标头中的用户 Cookie。这使得攻击者可以利用任何有效会话登录易受攻击的网站。
虽然这一漏洞的严重性较低,因为必须启用 WordPress 网站的调试功能才能成功利用它,但如果站点管理员曾经在某个时间点激活过调试日志功能,而未能删除旧的调试文件,网站仍然处于风险之中。值得注意的是,默认情况下该功能是禁用的。
安全公司 Patchstack 首先发现并报告了该漏洞,评级为“严重”。他们指出,只要调试功能曾经启用过且日志文件未清除,任何网站都可能受到影响。此外,该漏洞不仅影响用户 Cookie 记录,还涉及插件的日志设置功能,若启用也可能泄露登录 Cookie。
为了防止攻击,LiteSpeed 团队发布了 6.5.0.1 版本的修补程序,解决了该问题。补丁措施包括将调试日志文件移动到 LiteSpeed 插件文件夹中的专用路径“/wp-content/litespeed/debug/”,为日志文件名引入随机化,删除了记录 Cookie 的选项,并从响应标头中移除了与 Cookie 相关的信息。同时,还在调试目录中添加了虚拟的 index.php 文件,以防止未经授权的访问。
用户应检查其站点是否存在“/wp-content/debug.log”文件,并采取措施清除调试日志文件,特别是在调试功能曾被启用的情况下。此外,建议用户设置 .htaccess 规则,拒绝对日志文件的直接访问。即使 LiteSpeed 已经对文件名进行了随机化处理,恶意行为者仍可能通过试错法找到新文件名,并直接访问日志文件。
WordPress 安全公司 Defiant 指出,默认情况下调试功能是禁用的,但站点管理员应密切关注这一风险。Patchstack 进一步强调,这一漏洞凸显了确保调试日志过程的安全性以及不应记录敏感数据的重要性。
目前,LiteSpeed Cache 插件的下载量已超过 600 万次,而最新统计数据显示,仍有约 450 万个网站尚未更新至修补后的版本,可能继续面临攻击风险。作为一款提供服务器级缓存和优化功能的多功能插件,LiteSpeed Cache 对许多网站至关重要,因此,站点管理员应尽快应用补丁以确保网站安全。
