上週资安业者Patchstack率先揭露WordPress外挂程序LiteSpeed Cache重大层级的权限提升漏洞CVE-2024-28000（CVSS风险评分9.8），另一家专攻这网站平台资安防护应用的厂商Wordfence两天后也发文警告，提醒大家注意此漏洞可能造成大规模网站曝险。这个外挂程序的主要功能是加快网站的回应时间，由于全球有超过500万个网站部署，这样的漏洞很有可能被盯上，引发大规模攻击，果不其然，已有尝试利用漏洞的攻击行动。

这项漏洞发生的原因，在于该外挂程序并未正确限制角色模拟功能，导致攻击者一旦能够存取用于除错的事件记录资料，挖掘所需的杂凑值，或是透过暴力破解的方法，就有机会将使用者ID设置为管理员ID。攻击者可在未经授权的情况下，将使用者ID置换为管理员ID，然后利用特定的REST API端点建立具备管理员身分的新帐号。

此漏洞影响6.3.0.1以下版本的LiteSpeed Cache，对此，开发商已推出6.4版予以修补。资安业者Patchstack也对通报的研究人员发出14,400美元予以奖励，该公司声称是WordPress漏洞悬赏最高金额，可见资安业者对于该漏洞算是相当重视。

值得留意的是，事隔一週，两家资安业者都发现该漏洞已被用于攻击行动，但目前约有6成网站升级6.4、6.4.1版，换言之，仍有近4成网站曝险。根据Wordfence的调查，在最近24小时里，他们发现并封锁了51,858起锁定漏洞的攻击行动，这样的情况反映已有骇客专门锁定这项漏洞进行利用。

骇客锁定LiteSpeed Cache已非首例，今年5月，有人针对跨网站指令码漏洞CVE-2023-40000（CVSS风险评为8.3分），试图在WordPress网站建立管理员帐号，从而接管网站，骇客从单一来源IP位址进行至少120万次漏洞利用尝试。