2024年8月23日
【重要】WordPressプラグイン「LiteSpeed Cache(6.3.0.1以下)」における緊急性の高い脆弱性について(8/24 AM10:45 追記)
平素は当サービスをご利用いただき誠にありがとうございます。
「WordPress」のプラグイン「LiteSpeed Cache(6.3.0.1以下)」のご利用環境において、
緊急性の高いセキュリティ上の問題(脆弱性)が確認され、提供元より脆弱性対策が施された修正版がリリースされております。
また、この脆弱性を標的とした攻撃が発生している旨の情報が、セキュリティ関連機関を中心に発信されております。
当サービスには多くのお客様が「LiteSpeed Cache」をご利用いただいておりますため、以下の情報をご案内いたします。
古いバージョンの「LiteSpeed Cache」をご利用のお客様には、
必ず最新バージョン(6.4以上)へのアップデートを行っていただくようお願いいたします。
※脆弱性の影響を受ける可能性のある「LiteSpeed Cache」プラグインをご利用されているお客様に
不正アクセス防止対策適用のご連絡と
最新バージョン[LiteSpeed Cache(6.4.1)]へのアップデートのお願いを
メールにて送付させていただきます。
詳細につきましては下記をご参照ください。
----------------------------------------------------------------------
■脆弱性を確認したプラグイン
LiteSpeed Cache(6.3.0.1以下)(2024年8月23日現在、「6.4.1」が最新版)
■脆弱性の影響
・クロスサイトスクリプティングへの悪用により、WordPressファイルやデータベースに悪意のあるJavaScriptコードを挿入したり、管理者ユーザーが作成される可能性があります。
◇詳細について(外部サイト)
Critical Privilege Escalation in LiteSpeed Cache Plugin Affecting 5+ Million Sites
LiteSpeed Cache <= 6.3.0.1 - Unauthenticated Privilege Escalation
■対応方法(アップデート方法)
WordPressの管理ページ(ダッシュボード)にログインし、
[プラグイン]メニュー内[インストール済みプラグイン]から
最新バージョンへのアップデートを行ってください。
本脆弱性に限らず、WordPressをはじめとしたプログラムをご利用のお客様は
セキュリティ上の観点から、最新版へのアップデートを行い、
プログラムを最新の状態に保つようご協力をお願いいたします。
----------------------------------------------------------------------
弊社では、今後もお客様に安心してサービスをご利用いただけるよう、
機能の改善やセキュリティ強化に努めてまいります。
今後とも当サービスをよろしくお願い申し上げます。
(8/24 AM10:45 追記)
本文の内容について一部誤りがございました。
つきましては、下記のとおり訂正いたします。
ご迷惑をおかけしましたことを、深くお詫び申し上げます。
【誤】クロスサイトスクリプティングへの悪用により、
WordPressファイルやデータベースに悪意のあるJavascriptコードを挿入したり、
管理者ユーザーが作成される可能性があります。
【正】認証なしで管理者ユーザーが作成され、
そのユーザーを経由してWordPressを不正に操作される可能性があります。
また、関連情報として、当脆弱性におけるCVE番号および関連リンクについて下記に追記いたします。
◇詳細について(外部サイト)
CVE-2024-28000
「WordPress」のプラグイン「LiteSpeed Cache(6.3.0.1以下)」のご利用環境において、
緊急性の高いセキュリティ上の問題(脆弱性)が確認され、提供元より脆弱性対策が施された修正版がリリースされております。
また、この脆弱性を標的とした攻撃が発生している旨の情報が、セキュリティ関連機関を中心に発信されております。
当サービスには多くのお客様が「LiteSpeed Cache」をご利用いただいておりますため、以下の情報をご案内いたします。
古いバージョンの「LiteSpeed Cache」をご利用のお客様には、
必ず最新バージョン(6.4以上)へのアップデートを行っていただくようお願いいたします。
※脆弱性の影響を受ける可能性のある「LiteSpeed Cache」プラグインをご利用されているお客様に
不正アクセス防止対策適用のご連絡と
最新バージョン[LiteSpeed Cache(6.4.1)]へのアップデートのお願いを
メールにて送付させていただきます。
詳細につきましては下記をご参照ください。
----------------------------------------------------------------------
■脆弱性を確認したプラグイン
LiteSpeed Cache(6.3.0.1以下)(2024年8月23日現在、「6.4.1」が最新版)
■脆弱性の影響
・クロスサイトスクリプティングへの悪用により、WordPressファイルやデータベースに悪意のあるJavaScriptコードを挿入したり、管理者ユーザーが作成される可能性があります。
◇詳細について(外部サイト)
Critical Privilege Escalation in LiteSpeed Cache Plugin Affecting 5+ Million Sites
LiteSpeed Cache <= 6.3.0.1 - Unauthenticated Privilege Escalation
■対応方法(アップデート方法)
WordPressの管理ページ(ダッシュボード)にログインし、
[プラグイン]メニュー内[インストール済みプラグイン]から
最新バージョンへのアップデートを行ってください。
本脆弱性に限らず、WordPressをはじめとしたプログラムをご利用のお客様は
セキュリティ上の観点から、最新版へのアップデートを行い、
プログラムを最新の状態に保つようご協力をお願いいたします。
----------------------------------------------------------------------
弊社では、今後もお客様に安心してサービスをご利用いただけるよう、
機能の改善やセキュリティ強化に努めてまいります。
今後とも当サービスをよろしくお願い申し上げます。
(8/24 AM10:45 追記)
本文の内容について一部誤りがございました。
つきましては、下記のとおり訂正いたします。
ご迷惑をおかけしましたことを、深くお詫び申し上げます。
【誤】クロスサイトスクリプティングへの悪用により、
WordPressファイルやデータベースに悪意のあるJavascriptコードを挿入したり、
管理者ユーザーが作成される可能性があります。
【正】認証なしで管理者ユーザーが作成され、
そのユーザーを経由してWordPressを不正に操作される可能性があります。
また、関連情報として、当脆弱性におけるCVE番号および関連リンクについて下記に追記いたします。
◇詳細について(外部サイト)
CVE-2024-28000