
ワードプレスのサイト高速化の人気プラグイン Litespeed CacheでWordPressの乗っ取り攻撃に悪用される脆弱性(CVE-2024-28000)が発見され、2024年8月13日にパッチがリリースされています。
なお、本脆弱性はバグ報奨制度により発見され発見した研究者は14,400米ドルを受領しました。
目次
脆弱性 CVE-2024-28000の概要
LiteSpeed Cache litespeed-cache における不正な権限割り当ての脆弱性により、権限昇格が可能になります。パッチはリリース済みです。
Litespeed Cacheをダウンロードした半数以上が最新版を未ダウンロード
WordPress の公式プラグイン リポジトリのダウンロード統計を確認すると
アクティブなインストールは500万回以上ダウンロードされていますが、未だに過半数以上は最新版を利用していません。

脆弱性 CVE-2024-28000の対象バージョン
LiteSpeed Cache 1.9 から 6.3.0.1
脆弱性 CVE-2024-28000の対策
最新版にアップデート