WordPressの人気のプラグインに脆弱性、600万超のWebサイトに影響
2024年9月8日(日)17時36分 マイナビニュース
Patchstackは9月5日(現地時間)、「Critical Account Takeover in LiteSpeed Cache Plugin - Patchstack」において、WordPressの人気のプラグイン「LiteSpeed Cache」に重大な脆弱性が存在すると報じた。この脆弱性を悪用されると、認証していない第三者に機密情報を窃取され、認証をバイパスされる可能性がある。
なお、LiteSpeed Cacheは2024年8月21日にも緊急(Critical)の脆弱性が存在すると報告され、アップデートを公開している(参考:「LiteSpeed Cacheプラグインに緊急の脆弱性、500万超のWebサイトに影響 | TECH+(テックプラス)」)。
○脆弱性の概要
脆弱性の情報(CVE)は次のとおり。
CVE-2024-44000 - 機密情報漏洩の脆弱性。デバッグログを有効にしている場合、「/wp-content/debug.log」にセッションCookieを含む機密情報が記録され、アクセス可能な攻撃者に閲覧される可能性がある
○脆弱性が存在する製品
脆弱性が存在する製品およびバージョンは次のとおり。
LiteSpeed Cache 6.4.1およびこれ以前のバージョン
○脆弱性が修正された製品
脆弱性が修正された製品およびバージョンは次のとおり。
LiteSpeed Cache 6.5.0.1
○影響と対策
LiteSpeed Cacheは、600万以上のWebサイトにて利用されている人気のプラグイン。本稿執筆時点において、これらWebサイトの約95%が脆弱なバージョンを利用していることが確認されている。
この脆弱性はデバッグログを有効にしていて、なおかつ「/wp-content/debug.log」にアクセス可能な環境に影響がある。条件を満たさない環境には影響しないが、LiteSpeed Cacheを利用している管理者にはアップデートが推奨されている。なお、過去にデバッグログを有効化したことのある場合はdebug.logファイルが残っている可能性があるため、ファイルの有無を確認して削除することが望まれている。
なお、LiteSpeed Cacheは2024年8月21日にも緊急(Critical)の脆弱性が存在すると報告され、アップデートを公開している(参考:「LiteSpeed Cacheプラグインに緊急の脆弱性、500万超のWebサイトに影響 | TECH+(テックプラス)」)。
○脆弱性の概要
脆弱性の情報(CVE)は次のとおり。
CVE-2024-44000 - 機密情報漏洩の脆弱性。デバッグログを有効にしている場合、「/wp-content/debug.log」にセッションCookieを含む機密情報が記録され、アクセス可能な攻撃者に閲覧される可能性がある
○脆弱性が存在する製品
脆弱性が存在する製品およびバージョンは次のとおり。
LiteSpeed Cache 6.4.1およびこれ以前のバージョン
○脆弱性が修正された製品
脆弱性が修正された製品およびバージョンは次のとおり。
LiteSpeed Cache 6.5.0.1
○影響と対策
LiteSpeed Cacheは、600万以上のWebサイトにて利用されている人気のプラグイン。本稿執筆時点において、これらWebサイトの約95%が脆弱なバージョンを利用していることが確認されている。
この脆弱性はデバッグログを有効にしていて、なおかつ「/wp-content/debug.log」にアクセス可能な環境に影響がある。条件を満たさない環境には影響しないが、LiteSpeed Cacheを利用している管理者にはアップデートが推奨されている。なお、過去にデバッグログを有効化したことのある場合はdebug.logファイルが残っている可能性があるため、ファイルの有無を確認して削除することが望まれている。