2024年8月23日現在、「WordPress」のプラグイン「LiteSpeed Cache 6.3.0.1 以下」のご利用環境において、緊急性の高いセキュリティ上の問題(脆弱性)が確認され、提供元より脆弱性対策が施された修正版がリリースされております。
また、この脆弱性を標的とした攻撃が発生している旨の情報が、セキュリティ関連機関を中心に発信されております。
古いバージョンの「LiteSpeed Cache」をご利用のお客様には、必ず最新バージョン(6.4以上)へのアップデートを行っていただくようお願いいたします。
Critical Privilege Escalation in LiteSpeed Cache Plugin Affecting 5+ Million Sites - patchstack LiteSpeed Cache <= 6.3.0.1 - Unauthenticated Privilege Escalation - Wordfence CVE-2024-28000 - CVE
脆弱性を確認したバージョン LiteSpeed Cache 6.3.0以前(2024年8月23日現在「6.4.1」が最新版)
脆弱性の影響 認証なしで管理者ユーザーが作成され、そのユーザーを経由してWordPressを不正に操作される可能性があります。
旧バージョンからのアップデートについて WordPressの管理ページ(ダッシュボード)にログインし、[プラグイン]メニュー内の[インストール済みプラグイン]から最新バージョンへのアップデートを行ってください。プラグインを利用していない場合は無効化するか削除してください。 アップデートの前に必ず現データのバックアップを取得してください。 LiteSpeed Cacheの公式ページ(日本語) - wordpress.org
その他 本脆弱性に限らず、WordPressをはじめとしたプログラムをご利用のお客様は、セキュリティ上の観点から最新版へのアップデートを行い、プログラムを最新の状態に保つようご協力をお願いいたします。 このたびの脆弱性以外でも、脆弱性のあるプラグインを悪用される被害や簡易なパスワード設定を悪用される被害事例が相次いでいます。併せて対策をご検討ください。