资安业者Patchstack揭露WordPress网站加速外挂程序LiteSpeed Cache的严重漏洞CVE-2024-44000（CVSS风险评分为7.5），并指出攻击者可在未经身分验证的情况下，利用该漏洞得到已登入使用者的存取权限，若是掌握了管理员权限，骇客就能上传、安装恶意外挂程序。研究人员在8月下旬通报此事，9月4日外挂程序开发商发布6.5.0.1版予以修补。而这是他们找到权限提升漏洞CVE-2024-28000之后，另一个相当危险的弱点。?

针对这项漏洞发生的原因，研究人员指出，出现在该外挂程序的除错事件记录功能当中，一旦开发人员启用相关功能，会将HTTP回应标头记录到特定的文件，其中包含Set-Cookie的标头。

而这种标头含有用于使用者身分验证的cookie，若是攻击者能够取得，就有机会冒充网站管理员并控制网站。

攻击者若要利用这项漏洞，基本上，须满足两个条件：一个是WordPress网站管理者使用LiteSpeed Cache外挂时，曾启用除错记录功能，而且 /wp-content/debug.log 这个事件记录文件并未彻底清除或移除。

自一週前新版LiteSpeed Cache推出后，约有近413万次下载、更新，换言之，部署这款外挂程序的600万个网站，迄今仍有近200万个可能曝露于相关风险。