详细内容或原文请订阅后点击阅览
CVE-2024-44000:流行的 WordPress 插件再次受到攻击
一个错误的设置怎么可能让您的网站面临风险?
来源:安全实验室新闻频道在流行的LiteEspeed Cache插件中,已经发现了WordPress的严重漏洞,该漏洞可以允许攻击者捕获用户帐户。该漏洞收到了CVE-2024-44000的名称,其估算值为7.5分,其版本高达6.4.1(包括6.4.1)。
WordPress div> CVE-2024-44000 div>PatchStack Rafi Muhammad的研究人员在其报告中指出,漏洞允许任何未经授权的用户访问包括管理员在内的任何授权用户的研究。这可能会导致在网站上安装恶意插件和其他罪名。
PatchStack 您的报告, div>漏洞的原因是对包含敏感数据的杂志“/wp-content/debug.log”开放访问权限,例如cookie信息和活动用户会话。这使攻击者可以无权访问帐户。
漏洞没有广泛威胁的性质,因为要求在站点上激活该站点的操作,默认情况下将关闭。但是,该功能较早打开并且未删除该杂志文件的站点处于危险之中。
更新LiteEspeed Cache 6.5.0.1的插件将杂志文件移至新文件夹,意外生成文件名并消除了cookie数据的记录。建议用户检查/wp-content/debug.log文件的可用性,如果调试已激活,则将其删除。
专家还建议在“ .htaccess”中添加规则,该规则将限制访问杂志文件。如果攻击者试图通过选择猜测新文件名,这将降低风险。 CVE-2024-44000的脆弱性检测强调了对调试和管理杂志进行适当调整的重要性,以最大程度地减少数据泄漏的风险。
我们报告 CVE-2024-28000, div>