Malwarebytesは10月18日(米国時間)、「Multiple vulnerabilities in popular WordPress plugin WP Fastest Cache」において、WordPressのプラグインである「WP Fastest Cache」に複数の脆弱性が報告されていると伝えた。これらの脆弱性を悪用されると、攻撃者によって対象のWebサイト上で任意のSQLが実行されたり、悪意のあるJavaScriptコードを挿入されたりする危険性がある。

WP Fastest Cacheは、WordPressベースのWebサイトにおいて静的なコンテンツのキャッシュを作成することでページのレンダリング速度を向上させることができるプラグインである。WordPressの利用者にとっては定番プラグインのひとつとなっており、現在100万を超えるWP FastestCacheのアクティブなインストールがあるという。

  • WP Fastest Cache – WordPress plugin|WordPress.org

    WP Fastest Cache – WordPress plugin | WordPress.org

今回報告されている脆弱性は次の2件で、Jetpack Scanチームによる内部監査中に発見されたものだという。

  • ClassicEditorプラグインにおける認証されたSQLインジェクションの脆弱性
  • クロスサイトリクエストフォージェリ(CSRF)を介した保存されたXSS(クロスサイトスクリプティング)の脆弱性(CVE-2021-24869)

前者はClassicEditorプラグインがアクティブ化されているサイトのみ影響を受けるもので、SQLインジェクション攻撃によって対象のサイトのデータベースから任意の情報を窃取される可能性があるという。

後者はCVE-2021-24869の追跡番号が付与されている脆弱性で、ユーザ特権のチェックにおいて検証が不足しているために、攻撃者は対象のWebサイトで任意のアクションを実行することができる。これを悪用して悪意のあるJavaScriptコードをサイトに保存することも可能だという。CVSS v3のベーススコアは9.8で、深刻度「Critical(緊急)」に分類されている。

いずれの脆弱性も、WP Fastest Cacheプラグインを最新バージョン(本稿執筆時点ではバージョン0.9.5)にアップデートすることで影響を回避できるとのこと。発見者であるJetpack Scanチームは、これらの脆弱性が悪用されると技術的に大きな影響を受ける危険性が高いとして、できるだけ早くアップデートを適用することを推奨している。