资安业者Patchstack揭露WordPress网站加速插件程序LiteSpeed Cache的严重漏洞CVE-2024-44000（CVSS风险评分为7.5），并指出攻击者可在未经身分验证的情况下，利用该漏洞得到已登录用户的存取权限，若是掌握了管理员权限，黑客就能上传、安装恶意插件程序。研究人员在8月下旬通报此事，9月4日插件程序开发商发布6.5.0.1版予以修补。而这是他们找到权限提升漏洞CVE-2024-28000之后，另一个相当危险的弱点。 

针对这项漏洞发生的原因，研究人员指出，出现在该插件程序的调试事件记录功能当中，一旦开发人员激活相关功能，会将HTTP回应标头记录到特定的文件，其中包含Set-Cookie的标头。

而这种标头含有用于用户身分验证的cookie，若是攻击者能够取得，就有机会冒充网站管理员并控制网站。

攻击者若要利用这项漏洞，基本上，须满足两个条件：一个是WordPress网站管理者使用LiteSpeed Cache插件时，曾激活调试记录功能，而且 /wp-content/debug.log 这个事件记录文件并未彻底清除或移除。

自一周前新版LiteSpeed Cache推出后，约有近413万次下载、更新，换言之，部署这款插件程序的600万个网站，迄今仍有近200万个可能曝露于相关风险。