上周资安业者这项漏洞发生的原因,在于该外挂程式并未正确限制角色模拟功能,导致攻击者一旦能够存取用于除错的事件记录资料,挖掘所需的杂凑值,或是透过暴力破解的方法,就有机会将使用者ID设置为管理员ID。攻击者可在未经授权的情况下,将使用者ID置换为管理员ID,然后利用特定的REST API端点建立具备管理员身分的新帐号。
此漏洞影响6.3.0.1以下版本的LiteSpeed Cache,对此,开发商已推出6.4版予以修补。资安业者Patchstack也对通报的研究人员骇客锁定LiteSpeed Cache已非首例,今年5月,