ワードプレスの人気のキャッシュプラグインLiteSpeed Cache 6.3.0.1以下で500万サイトに影響を与える脆弱性が発見されました。早めにプラグインをアップデートされることをお勧めいたします。
LiteSpeed Cache6.3.0.1以下でログイン中のユーザーの乗っ取りが可能な脆弱性
LiteSpeed Cacheは500万サイト以上に導入されている人気のキャッシュプラグインで、
発見された脆弱性は
https://patchstack.com/articles/critical-privilege-escalation-in-litespeed-cache-plugin-affecting-5-million-sites?_s_id=cve
によりますと、ワードプレスに現在ログインしているユーザーの認証情報を盗んで別のところからハッカーがログインできてしまうというもののようです。
つまり認証なしで管理者ユーザーが乗っ取りされ、そのユーザーを経由してWordPressを不正に操作される可能性があります。
脆弱性のIDはCVE-2024-28000となります。
この脆弱性の発見者には、ワードプレスチームより史上最高額14,400 米ドルの報奨金が支払われたという事で脆弱性の深刻度がわかります。
LiteSpeed Cacheの脆弱性をふさぐ
この脆弱性がサイトにあるかどうかは
【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除]
でも検査することが可能です。よろしければご利用ください。
LiteSpeed Cacheのチームが脆弱性をふさぐために行ったコードの改変は下記で参照することが可能ですが、複雑な為手作業で行うのは難しそうです。
https://plugins.trac.wordpress.org/changeset/3135111/litespeed-cache/trunk
LiteSpeed Cacheの脆弱性をふさぐ最も簡単な方法はLiteSpeed Cacheプラグインをバージョン6.4以上にアップデートすることです。
早めにご対応いただくことをお勧めいたします。
WordPress ワードプレスのマルウェア駆除・セキュリティー対策のご相談・ご依頼はWPドクターまでお気軽にお送りください
