WordPress用プラグイン「LiteSpeed Cache」で重大な脆弱性が発生(CVE-2023-40000)

WordPress用プラグイン「Forminator」で複数の脆弱性が発生

対象CVEはCVE-2023-40000になります。

WordPress用プラグイン「LiteSpeed Cache」とは

500 万を超える WordPress(ワードプレス) サイトで使用されているキャッシュ プラグインです。
期待できる効果としては、ページの読み込みを高速化でき、結果的にGoogle 検索のSEO対策に活用できます。

LiteSpeed Cache 脆弱性の概要(CVE-2023-40000)

 

さらにWPScan の調査よると、1 つの IP アドレス (94.102.51.144) から 120 万件を超えるプローブ要求が発信され、脆弱なサイトがスキャンされていました。


その後攻撃者は、重要な WordPress ファイルやデータベースに悪意のある JavaScript コードを注入し、 ‘wpsupp-user’ または ‘wp-configuser’ という名前の管理者ユーザーを作成しようとしていました。

タベースに悪意のある JavaScript コードを注入し、 'wpsupp-user' または 'wp-configuser' という名前の管理者ユーザーを作成しようとしていた。

画像:WPScan引用

インターネットプロバイダー(Xserver)も警告

Xserverは5月13日の時点で、WordPressプラグイン「LiteSpeed Cache(5.7.0.1未満)」における緊急性の高い脆弱性についてとリリースを出し、早急な対応を促しています。

対処法

最新版へアップデート

引用:CVE-2023-40000

TOPへ