HOME コラム一覧 知って得するセキュリティのはなし  その272

知って得するセキュリティのはなし  その272

post_visual

WordPressプラグイン「LiteSpeed Cache」に致命的な脆弱性…500万以上のWebサイトに影響の恐れ

1.このニュースをざっくり言うと

- 8月21日(現地時間)、WordPress向けセキュリティプラグイン「Wordfence」を提供するDefiant社より、WordPressのサイト高速化機能を提供するプラグイン「LiteSpeed Cache」に脆弱性(CVE-2024-28000)が存在するとして注意喚起が出されています。
- 脆弱性はLiteSpeed Cacheのバージョン6.3.0.1以前に存在し、外部の攻撃者に管理者権限を奪取され、最悪の場合サイトの乗っ取りに繋がり得るとされています。
- 既に脆弱性を修正したバージョン6.4がリリースされており、アップデートが強く推奨されています(8/29時点の最新バージョン6.4.1でもさらなるセキュリティアップデートが行われている模様です)。

2.執筆者からの所感等

- LiteSpeed CacheはWebサーバー「LiteSpeed」と同じ開発元の提供で、LiteSpeed(商用版)あるいはOpenLiteSpeed(オープンソース版)上のWordPress向けの独自の高速化機能の他、Apache・nginx等といった他のWebサーバーでも動作する高速化機能も提供し、500万以上のアクティブなWordPressサイトで利用されているとのことです。
- 脆弱性の悪用により、攻撃者がWordPressサイトのユーザーとしてログインできない場合でも、ブルートフォース(総当たり攻撃)を行い、管理者ユーザーを不正に作成することが可能とされています。
- WordPressでは、本体からサードパーティー製のプラグインに至るまで日々何らかの脆弱性が報告されており、インストールしているプラグイン全てについて随時セキュリティ情報を確認しつつ、最新バージョンに保つよう留意すること、またWordfence等セキュリティ機能を提供するプラグインについても、数多く提供されているものから選択の上、必ず導入することが重要です。

執筆者情報

profile_photo

株式会社アルテミス

株式会社アルテミスは、1995年(平成7年)に設立以来、情報通信および情報セキュリティという事業領域において、お客様ニーズに合わせてワンストップにて各種ソリューションを提供しています。
自社製品として情報セキュリティ関連の各種シリーズをリリース、そのほか、ネットワークセキュリティの分野では、疑似侵入診断サービス、Webアプリケーション診断サービスなどによるネットワークの脆弱性診断などを展開するなど、官公庁・金融機関・一部上場企業を初めとする大手・中堅企業から中小企業に至るまで、多くの企業がセキュアなシステムを構築するための支援を首尾一貫して提供しています。
特に50名以下の管理者がいない法人(SMB)法人に対してセキュリティ+マネージドサービスを提供しています。
SMB市場でのセキュリティ機器&サービスは、提案、購入するだけでは、エンドユーザへの『真の導入には至らない』ため、システム管理者が不在でも、機器の運用、サービスの運用、 IT機器の活用方法、トラブル対応、リスク対応などを標準化した商品を提供しています。

株式会社アルテミス
https://www.artemis-jp.com/

株式会社アルテミス AUS便り
https://www.artemis-jp.com/wp/aus_arc/

この記事のカテゴリ

この記事のシリーズ

知って得するセキュリティのはなし

記事の一覧を見る

関連リンク

知って得するセキュリティのはなし  その271

税務・会計に関する情報を毎週無料でお届けしています!

メルマガ登録はこちら


コラム
/column/2024/img/thumbnail/img_36_s.jpg
- 8月21日(現地時間)、WordPress向けセキュリティプラグイン「Wordfence」を提供するDefiant社より、WordPressのサイト高速化機能を提供するプラグイン「LiteSpeed Cache」に脆弱性(CVE-2024-28000)が存在するとして注意喚起が出されています。 - 脆弱性はLiteSpeed Cacheのバージョン6.3.0.1以前に存在し、外部の攻撃者に管理者権限を奪取され、最悪の場合サイトの乗っ取りに繋がり得るとされています。 - 既に脆弱性を修正したバージョン6.4がリリースされており、アップデートが強く推奨されています(8/29時点の最新バージョン6.4.1でもさらなるセキュリティアップデートが行われている模様です)。
2024.08.30 15:15:55