WordPressのプラグイン「LiteSpeed Cache(6.3.0.1以下)」で脆弱性が確認されたらしい

Xserverからこのような内容のお知らせメールが届いていた。

WordPressのプラグイン「LiteSpeed Cache(6.3.0.1以下)」で、
脆弱性が確認されたのでアップデートする必要があるとの事。

WordPressプラグイン「LiteSpeed Cache(6.3.0.1以下)」で脆弱性が確認される

「WordPress」のプラグイン「LiteSpeed Cache(6.3.0.1以下)」のご利用環境において、
緊急性の高いセキュリティ上の問題(脆弱性)が確認され、提供元より脆弱性対策が施された修正版がリリースされております。
また、この脆弱性を標的とした攻撃が発生している旨の情報が、セキュリティ関連機関を中心に発信されております。

当サービスには多くのお客様が「LiteSpeed Cache」をご利用いただいておりますため、以下の情報をご案内いたします。

古いバージョンの「LiteSpeed Cache」をご利用のお客様には、
必ず最新バージョン(6.4以上)へのアップデートを行っていただくようお願いいたします。

※脆弱性の影響を受ける可能性のある「LiteSpeed Cache」プラグインをご利用されているお客様に
 不正アクセス防止対策適用のご連絡と
 最新バージョン[LiteSpeed Cache(6.4.1)]へのアップデートのお願いを
 メールにて送付させていただきます。

詳細につきましては下記をご参照ください。

----------------------------------------------------------------------
■脆弱性を確認したプラグイン
 LiteSpeed Cache(6.3.0.1以下)(2024年8月12日現在、「6.4.1」が最新版)

■脆弱性の影響

・クロスサイトスクリプティングへの悪用により、WordPressファイルやデータベースに悪意のあるJavaScriptコードを挿入したり、管理者ユーザーが作成される可能性があります。

 ◇詳細について(外部サイト)
  Critical Privilege Escalation in LiteSpeed Cache Plugin Affecting 5+ Million Sites
  https://patchstack.com/articles/critical-privilege-escalation-in-litespeed-cache-plugin-affecting-5-million-sites?_s_id=cve
  LiteSpeed Cache <= 6.3.0.1 - Unauthenticated Privilege Escalation
  https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/litespeed-cache/litespeed-cache-6301-unauthenticated-privilege-escalation


■対応方法(アップデート方法)
 WordPressの管理ページ(ダッシュボード)にログインし、
 [プラグイン]メニュー内[インストール済みプラグイン]から
 最新バージョンへのアップデートを行ってください。

 本脆弱性に限らず、WordPressをはじめとしたプログラムをご利用のお客様は
 セキュリティ上の観点から、最新版へのアップデートを行い、
 プログラムを最新の状態に保つようご協力をお願いいたします。
----------------------------------------------------------------------

弊社では、今後もお客様に安心してサービスをご利用いただけるよう、
機能の改善やセキュリティ強化に努めてまいります。

今後とも当サービスをよろしくお願い申し上げます。


自分はこの「LiteSpeed Cache」というプラグインを知らなかったのだが、
500万回以上もインストールされている大人気のプラグインなのだそうだ。

プラグインをアップデートする事で脆弱性の対策が出来るのなら一安心かも。

やっぱりWordPressは放置しないで、定期的にメンテナンスしないと駄目ね。

そして、さらに脆弱性の影響に関しての訂正メールが送信されてきた。

先日お送りいたしました本件名のメールにつきまして、
記載の内容に誤りがございましたので、訂正とともにお詫び申し上げます。

【誤】
■脆弱性の影響
クロスサイトスクリプティングへの悪用により、
WordPressファイルやデータベースに悪意のあるJavaScriptコードを挿入したり、管理者ユーザーが作成される可能性があります。

【正】
■脆弱性の影響
認証なしで管理者ユーザーが作成され、そのユーザーを経由してWordPressを不正に操作される可能性があります。


WordPressって定期的に脆弱性が確認されるから油断は出来ないな~…

しかも人気の高いプラグインを狙い撃ちされるとダメージも大きい。

常に最新の状態に保つなど厳しいチェックが必要になってくるだろう。

スポンサードリンク
スポンサードリンク