LiteSpeed Cacheプラグインに緊急の脆弱性、500万超のWebサイトに影響

画像提供：マイナビニュース

Defiantは8月21日(米国時間)、「Over 5,000,000 Site Owners Affected by Critical Privilege Escalation Vulnerability Patched in LiteSpeed Cache Plugin」において、WordPressの人気のプラグイン「LiteSpeed Cache」に緊急(Critical)の脆弱性が存在すると報じた。この脆弱性を悪用されると、リモートの認証されていない攻撃者にWebサイトを乗っ取られる可能性がある。

○脆弱性の情報

脆弱性の情報は次のページにまとまっている。

Critical Privilege Escalation in LiteSpeed Cache Plugin - Patchstack

脆弱性の情報(CVE)は次のとおり。

CVE-2024-28000 - 不適切な権限割り当ての脆弱性。リモートの認証されていない攻撃者に特権を取得される可能性がある

○脆弱性が存在する製品

脆弱性が存在するとされる製品およびバージョンは次のとおり。

LiteSpeed Cache 6.3.0.1およびこれ以前のバージョン

○脆弱性が修正された製品

脆弱性が修正された製品およびバージョンは次のとおり。

LiteSpeed Cache 6.4およびこれ以降のバージョン

○脆弱性の影響と対策

LiteSpeed Cacheは500万以上のWebサイトにて利用されている人気のプラグインとされる。本稿執筆時点において、これらWebサイトの約70%が脆弱なバージョンを利用していることが確認されている。

この脆弱性の深刻度は緊急(Critical)と評価されており注意が必要。Defiantは重大なリスクをもたらし、悪用される可能性が高いとして、当該プラグインの利用者に速やかなアップデートを推奨している。
（後藤大地）