Patchstackは2月27日(現地時間)、「XSS Vulnerability in LiteSpeed Cache Plugin - Patchstack」において、WordPressのキャッシュプラグイン「LiteSpeed Cache」から脆弱性が発見されたとして、注意を呼び掛けた。プラグインのアクティブサイトは500万件を超えており、そのうち約半数のサイトが影響を受けているとみられる。
-
XSS Vulnerability in LiteSpeed Cache Plugin - Patchstack
キャッシュプラグイン「LiteSpeed Cache」が抱える脆弱性
LiteSpeed Cacheはオールインワンのサイトアクセラレーションプラグインで、サーバクラスのキャッシュと最適化機能のコレクションを備えている。今回、LiteSpeed Cacheから発見された脆弱性はクロスサイトスクリプティング(XSS: Cross-Site Scripting)の脆弱性とされる。
修正された脆弱性の情報は次のとおり。
- CVE-2023-40000 - ユーザーからの入力を処理するコードにサニタイズと出力エスケープの実装がない。これによりクロスサイトスクリプティング(XSS: Cross-Site Scripting)の脆弱性が発生する
この脆弱性を悪用されると、認証されていない攻撃者はHTTPリクエストを実行することで、機密情報の窃取やWordPressサイトにおける権限の昇格が可能とされる。
脆弱性の影響を受けるバージョン
脆弱性の影響を受けるとされるバージョンは次のとおり。
- LiteSpeed Cache 5.7およびこれ以前のバージョン
脆弱性を修正したバージョンは次のとおり。
- LiteSpeed Cache 5.7.0.1およびこれ以降のバージョン
脆弱性への対策
LiteSpeed Cacheを使用しているWordPressサイトの管理者には、影響を確認して速やかにプラグインをアップデートすることが推奨されている。また、Patchstackは問題を修正するシンプルなパッチを提供しており、アップデートを実施できない場合は、このパッチを適用することで影響を回避できる。
