出典: Security NEXT – https://www.security-next.com/176463
WordPressのキャッシュプラグイン「LiteSpeed Cache」にXSS脆弱性が発見
WordPressで広く利用されているキャッシュプラグイン「LiteSpeed Cache」に、反射型クロスサイトスクリプティング(XSS)の脆弱性が報告されました。この脆弱性はユーザーが細工されたリンクをクリックした際に悪用される恐れがあります。
主要なポイント
- 脆弱性の種類:反射型クロスサイトスクリプティング(XSS)で、入力内容の検証不備が原因です。
- 影響範囲:LiteSpeed Cacheのバージョン7.5.0.1およびそれ以前が対象となります。
- 評価と重要度:DefiantのWordfenceによるCVSSv3.1のベーススコアは6.1で、「中(Medium)」の重要度と評価されています。
- 修正対応:2025年10月15日にリリースされたバージョン7.6で脆弱性が修正されており、最新版は7.6.2です。
- 悪用のリスク:ユーザーが悪意のあるURLをクリックすると、意図しないスクリプトが実行される可能性があります。
技術的な詳細と背景
反射型クロスサイトスクリプティング(XSS)は、攻撃者が細工したスクリプトをウェブサイトのURLや入力フォームに埋め込み、ユーザーがそのリンクをクリックした際にスクリプトがブラウザ上で実行される脆弱性です。これにより、セッション情報の窃取や不正操作が可能になる恐れがあります。
今回の脆弱性「CVE-2025-12450」は、LiteSpeed Cacheプラグインが外部からの入力を適切に検証・無害化していなかったことが原因です。特にキャッシュ処理の際にURLパラメータを扱う部分で問題が発生していました。
影響と重要性
WordPressは世界中で最も利用されているCMSの一つであり、LiteSpeed Cacheは高速化のために多くのサイトで導入されています。そのため、この脆弱性は多くのウェブサイトに影響を及ぼす可能性があります。攻撃者が悪意のあるスクリプトを実行できると、ユーザーの個人情報漏洩やサイトの改ざん、さらにはマルウェアの配布などにつながるリスクがあります。
DefiantのWordfenceによる評価では、CVSSスコア6.1と中程度の重要度とされているものの、実際の被害を防ぐためには速やかなアップデート適用が推奨されます。
まとめ
WordPressのキャッシュプラグイン「LiteSpeed Cache」に存在した反射型XSS脆弱性は、ユーザーが悪意のあるリンクをクリックすることでスクリプトが実行されるリスクを持っています。影響を受けるバージョンを使用している場合は、開発者が2025年10月15日にリリースした7.6以降のバージョンに速やかにアップデートすることが重要です。ウェブサイトの安全性を維持するために、定期的なプラグインの更新とセキュリティ対策の徹底を心がけましょう。
