Patchstackは2月27日(現地時間)、「XSS Vulnerability in LiteSpeed Cache Plugin - Patchstack」において、WordPressのキャッシュプラグイン「LiteSpeed Cache」から脆弱性が発見されたとして、注意を呼び掛けた。プラグインのアクティブサイトは500万件を超えており、そのうち約半数のサイトが影響を受けているとみられる。

  • XSS Vulnerability in LiteSpeed Cache Plugin - Patchstack

    XSS Vulnerability in LiteSpeed Cache Plugin - Patchstack

キャッシュプラグイン「LiteSpeed Cache」が抱える脆弱性

LiteSpeed Cacheはオールインワンのサイトアクセラレーションプラグインで、サーバクラスのキャッシュと最適化機能のコレクションを備えている。今回、LiteSpeed Cacheから発見された脆弱性はクロスサイトスクリプティング(XSS: Cross-Site Scripting)の脆弱性とされる。

修正された脆弱性の情報は次のとおり。

  • CVE-2023-40000 - ユーザーからの入力を処理するコードにサニタイズと出力エスケープの実装がない。これによりクロスサイトスクリプティング(XSS: Cross-Site Scripting)の脆弱性が発生する

この脆弱性を悪用されると、認証されていない攻撃者はHTTPリクエストを実行することで、機密情報の窃取やWordPressサイトにおける権限の昇格が可能とされる。

脆弱性の影響を受けるバージョン

脆弱性の影響を受けるとされるバージョンは次のとおり。

  • LiteSpeed Cache 5.7およびこれ以前のバージョン

脆弱性を修正したバージョンは次のとおり。

  • LiteSpeed Cache 5.7.0.1およびこれ以降のバージョン

脆弱性への対策

LiteSpeed Cacheを使用しているWordPressサイトの管理者には、影響を確認して速やかにプラグインをアップデートすることが推奨されている。また、Patchstackは問題を修正するシンプルなパッチを提供しており、アップデートを実施できない場合は、このパッチを適用することで影響を回避できる。