Litespeed CacheでWordPressの乗っ取り攻撃に悪用される脆弱性(CVE-2024-28000)

セキュリティニュース

投稿日時: 更新日時:

Litespeed CacheでWordPressの乗っ取り攻撃に悪用される脆弱性(CVE-2024-28000)

ワードプレスのサイト高速化の人気プラグイン Litespeed CacheでWordPressの乗っ取り攻撃に悪用される脆弱性(CVE-2024-28000)が発見され、2024年8月13日にパッチがリリースされています。

なお、本脆弱性はバグ報奨制度により発見され発見した研究者は14,400米ドルを受領しました。

脆弱性 CVE-2024-28000の概要

 LiteSpeed Cache litespeed-cache における不正な権限割り当ての脆弱性により、権限昇格が可能になります。パッチはリリース済みです。

Litespeed Cacheをダウンロードした半数以上が最新版を未ダウンロード

WordPress の公式プラグイン リポジトリのダウンロード統計を確認すると

アクティブなインストールは500万回以上ダウンロードされていますが、未だに過半数以上は最新版を利用していません。

Litespeed Cacheをダウンロードした半数以上が最新版を未ダウンロード

脆弱性 CVE-2024-28000の対象バージョン

LiteSpeed Cache 1.9 から 6.3.0.1 

脆弱性 CVE-2024-28000の対策

最新版にアップデート