出典: Security NEXT – https://www.security-next.com/176463
WordPressのキャッシュプラグイン「LiteSpeed Cache」にXSS脆弱性が発見
WordPressで広く利用されているキャッシュプラグイン「LiteSpeed Cache」に、反射型クロスサイトスクリプティング(XSS)の脆弱性が確認されました。この脆弱性は悪意あるURLを通じて悪用される可能性があり、ユーザーが細工されたリンクをクリックすると不正なスクリプトが実行される恐れがあります。
主要なポイント
- 脆弱性の種類:反射型クロスサイトスクリプティング(XSS)で、入力内容の検証不備に起因しています。
- 影響範囲:LiteSpeed Cacheのバージョン7.5.0.1およびそれ以前のバージョンが対象です。
- 評価スコア:DefiantのWordfenceによるCVSSv3.1ベーススコアは6.1で、「中(Medium)」の重要度と評価されています。
- 対策状況:2025年10月15日にリリースされたバージョン7.6で脆弱性が修正されており、10月29日時点で最新版は7.6.2です。
- 悪用リスク:ユーザーが細工されたリンクをクリックすると、意図しないスクリプトがブラウザ上で実行される可能性があります。
技術的な詳細と背景情報
クロスサイトスクリプティング(XSS)は、Webアプリケーションにおいてユーザーからの入力を適切に検証・無害化しない場合に発生する脆弱性です。反射型XSSは、攻撃者が細工したURLに含まれるスクリプトが即座にブラウザで実行されるタイプで、ユーザーのセッション情報の窃取や不正操作の誘発に利用されることがあります。
今回の脆弱性「CVE-2025-12450」は、LiteSpeed Cacheプラグインの入力検証に不備があり、悪意あるスクリプトがURL経由で反射されてしまう問題です。WordPressのキャッシュプラグインはサイトの表示速度向上に重要な役割を果たすため、多数のサイトで利用されており、影響範囲が広い点も注意が必要です。
影響と重要性
この脆弱性を悪用されると、ユーザーが攻撃者の用意した細工されたリンクをクリックした際に、ブラウザ上で不正なスクリプトが実行されます。これにより、ユーザーの個人情報の漏洩やセッションハイジャック、さらにはサイトの改ざんなどの被害が発生する恐れがあります。
また、WordPressは世界中で最も利用されているCMSの一つであり、LiteSpeed Cacheも人気の高いプラグインであるため、多くのWebサイトが影響を受ける可能性があります。したがって、速やかなアップデート適用が強く推奨されます。
まとめ
WordPressのキャッシュプラグイン「LiteSpeed Cache」に存在した反射型XSS脆弱性「CVE-2025-12450」は、ユーザーが細工されたリンクをクリックすることで不正スクリプトが実行されるリスクを持っています。影響を受けるバージョンは7.5.0.1以前であり、2025年10月15日にリリースされた7.6以降のバージョンで修正済みです。サイト管理者は速やかにプラグインを最新版に更新し、セキュリティ対策を徹底することが重要です。
