iT邦幫忙

2024 iThome 鐵人賽

DAY 7
0

文章來源:
Critical Security Flaw Found in LiteSpeed Cache Plugin for WordPress,Sep/06/2024.Ravie Lakshmanan

⚾️ 新聞概述

資安研究人員近期發現 WordPress 熱門外掛 LiteSpeed Cache 存在一個嚴重的安全漏洞。此漏洞可能允許「未經授權」的使用者接管任意帳號,進而對網站安全構成重大威脅。

這個安全漏洞的根源於一個公開的除錯記錄檔(位於「/wp-content/debug.log」)。未經授權的攻擊者可能透過此檔案獲取敏感資訊,其中包括使用者的 cookie 資料,進而以有效的登入狀態進入易受攻擊的網站。

目前開發團隊已透過將記錄檔移至專用資料夾隨機化檔名的方式解決,並已在 6.5.0.1 版本 中修復。

這個漏洞只有在網站啟用除錯功能時才會生效,而該功能預設是關閉的


◼️ 文章啟示

此事件再次強調了在進行除錯過程中需要確保安全性的重要性,如:

  • 避免記錄敏感資料: 使用者的 cookie
  • 妥善管理除錯的記錄檔(debug.log): 必須確保這些檔案不會被公開暴露

▪️ 建議措施:

  • 確認網站是否存在「/wp-content/debug.log」檔案
  • 設定 .htaccess 規則 => 禁止直接訪問記錄檔
  • 定期更新 WordPress 核心、主題和外掛

◼️ 名詞學習

  • CVE-2024-44000:(CVE-年份-序號)這是該漏洞的唯一識別碼,用於追蹤和管理已知的安全漏洞。
  • CVSS 分數: Common Vulnerability Scoring System 的縮寫,是一套用於量化安全漏洞嚴重程度的標準評分系統。分數範圍從 0 到 10,分數越高代表漏洞越嚴重。
  • .htaccess: Apache 網頁伺服器的一個重要的設定檔,其能針對特定目錄或網站進行各種客製化設定,該檔案通常放置在網站的根目錄或子目錄中;常見用途包含:網址重新導向 (URL redirection)、存取控制、設定網站預設文件、MIME 類型設定以及壓縮與快取設定等。

上一篇
Day 6:GitHub Actions成為攻擊目標
下一篇
Day 8:美國推動BGP強化計畫
系列文
初探資安:30 天小白挑戰 - 透過新聞了解網路安全30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言