Defiantは8月21日(米国時間)、「Over 5,000,000 Site Owners Affected by Critical Privilege Escalation Vulnerability Patched in LiteSpeed Cache Plugin」において、WordPressの人気のプラグイン「LiteSpeed Cache」に緊急(Critical)の脆弱性が存在すると報じた。この脆弱性を悪用されると、リモートの認証されていない攻撃者にWebサイトを乗っ取られる可能性がある。

  • Over 5、000、000 Site Owners Affected by Critical Privilege Escalation Vulnerability Patched in LiteSpeed Cache Plugin

    Over 5,000,000 Site Owners Affected by Critical Privilege Escalation Vulnerability Patched in LiteSpeed Cache Plugin

脆弱性の情報

脆弱性の情報は次のページにまとまっている。

脆弱性の情報(CVE)は次のとおり。

  • CVE-2024-28000 - 不適切な権限割り当ての脆弱性。リモートの認証されていない攻撃者に特権を取得される可能性がある

脆弱性が存在する製品

脆弱性が存在するとされる製品およびバージョンは次のとおり。

  • LiteSpeed Cache 6.3.0.1およびこれ以前のバージョン

脆弱性が修正された製品

脆弱性が修正された製品およびバージョンは次のとおり。

  • LiteSpeed Cache 6.4およびこれ以降のバージョン

脆弱性の影響と対策

LiteSpeed Cacheは500万以上のWebサイトにて利用されている人気のプラグインとされる。本稿執筆時点において、これらWebサイトの約70%が脆弱なバージョンを利用していることが確認されている。

  • バージョンごとの利用割合 - 引用:WordPress

    バージョンごとの利用割合 引用:WordPress

この脆弱性の深刻度は緊急(Critical)と評価されており注意が必要。Defiantは重大なリスクをもたらし、悪用される可能性が高いとして、当該プラグインの利用者に速やかなアップデートを推奨している。