LiteSpeed Web Serverに高深刻度のOSコマンドインジェクションの脆弱性(CVE-2026-31386)

セキュリティニュース

投稿日時: 更新日時:

LiteSpeed Web Serverに高深刻度のOSコマンドインジェクションの脆弱性(CVE-2026-31386)

JVNは2026年3月16日、LiteSpeed Technologiesが提供するOpenLiteSpeedおよびLSWS Enterpriseに、OSコマンドインジェクションの脆弱性が存在すると公表しました。対象はOpenLiteSpeedの全バージョンとLSWS Enterpriseの全バージョンで、CVEはCVE-2026-31386です。CVSS v4の基本値は8.6、CVSS v3.0の基本値は7.2とされています。

概要

今回明らかになったのは、LiteSpeed系Webサーバの管理系機能に起因する高深刻度の脆弱性です。JVNは脆弱性の種別をOSコマンドインジェクションと整理しており、NVDも同じ説明を掲載しています。海外のセキュリティ記事では、この問題はWebAdminコンソールに関係する脆弱性として紹介されており、管理用インターフェースの防御が焦点になっています。

影響対象

特定バージョンではなく全バージョンとされている点も重いポイントです。OpenLiteSpeedとLSWS Enterpriseの双方が対象であり、利用中の環境ではバージョン確認だけで安心できる状況ではありません。まずは管理ポートの露出状況と、管理画面に到達できる送信元を早急に確認する必要があります。

影響範囲

LiteSpeedは公式にcPanel、Plesk、DirectAdmin向けの導入・運用ドキュメントを提供しており、ホスティング基盤や共有サーバ環境で広く使われていることがうかがえます。

また、LiteSpeedの公式ドキュメントには、DirectAdmin環境でWebAdmin ConsoleがTCP 7080を使用し、このポートは管理用IPのみに開放すべきだと明記されています。今回のワークアラウンドは、まさにこの管理ポートの公開範囲を最小化する運用を徹底せよという内容です。

対応状況と当面の対策

現時点でJVNが案内している正式な対策は、WebAdminコンソールのポートに対するアクセス制限と、信頼済みIPアドレスからのみ接続を許可するワークアラウンドです。

LiteSpeedの管理画面には許可IPや信頼IPの設定機能があり、公式文書でもAllowed ListやTrusted IPの運用方法が案内されています。まずは管理ポートをインターネットへ直接さらしていないかを確認し、踏み台やVPNを経由した到達に限定する構成へ見直すべきです。