上周资安业者Patchstack率先揭露WordPress插件程序LiteSpeed Cache重大层级的权限提升漏洞CVE-2024-28000（CVSS风险评分9.8），另一家专攻这网站平台资安防护应用的厂商Wordfence两天后也发文警告，提醒大家注意此漏洞可能造成大规模网站曝险。这个插件程序的主要功能是加快网站的回应时间，由于全球有超过500万个网站部署，这样的漏洞很有可能被盯上，引发大规模攻击，果不其然，已有尝试利用漏洞的攻击行动。

这项漏洞发生的原因，在于该插件程序并未正确限制角色模拟功能，导致攻击者一旦能够存取用于调试的事件记录数据，挖掘所需的散列值，或是通过暴力破解的方法，就有机会将用户ID设置为管理员ID。攻击者可在未经授权的情况下，将用户ID置换为管理员ID，然后利用特定的REST API端点创建具备管理员身分的新帐号。

此漏洞影响6.3.0.1以下版本的LiteSpeed Cache，对此，开发商已推出6.4版予以修补。资安业者Patchstack也对通报的研究人员发出14,400美元予以奖励，该公司声称是WordPress漏洞悬赏最高金额，可见资安业者对于该漏洞算是相当重视。

值得留意的是，事隔一周，两家资安业者都发现该漏洞已被用于攻击行动，但目前约有6成网站升级6.4、6.4.1版，换言之，仍有近4成网站曝险。根据Wordfence的调查，在最近24小时里，他们发现并封锁了51,858起锁定漏洞的攻击行动，这样的情况反映已有黑客专门锁定这项漏洞进行利用。

黑客锁定LiteSpeed Cache已非首例，今年5月，有人针对跨网站脚本漏洞CVE-2023-40000（CVSS风险评为8.3分），试图在WordPress网站创建管理员帐号，从而接管网站，黑客从单一来源IP位址进行至少120万次漏洞利用尝试。