WordPressで利用されている人気のLiteSpeed Cacheプラグインにおいて、深刻な未認証の権限昇格の脆弱性が発見され、対応が行われました。この脆弱性(CVE-2024-50550)は、CVSSスコア8.1と高く評価されており、約600万件のアクティブインストールがあるLiteSpeed Cacheユーザーにとって非常に重要な問題です。脆弱性が存在する環境では、攻撃者が未認証で管理者権限を取得できる可能性があります。
プラグインの対処方法
- LiteSpeed Cacheプラグインをバージョン6.5.2以上に更新してください。
CVE-2024-50550の概要
この脆弱性は、LiteSpeed Cacheプラグインのクローラー機能に存在し、未認証の権限昇格を可能にします。特に、この脆弱性は、弱いセキュリティハッシュチェックに依存しており、既知の値を使用することで攻撃が成立する可能性があります。また、この脆弱性が発生するには、クローラー機能で管理者権限のユーザーによる追加のまれな設定が必要です。
LiteSpeed Cacheプラグインのクローラー機能には、ロールシミュレーション機能が搭載されています。まず、最初のチェックで「Flash Hash」が確認されますが、生成されたハッシュの有効期間が120秒以内でなければ受け入れられません。これにより、大量のブルートフォース攻撃はある程度防止されます。
ただし、$_COOKIE[‘litespeed_hash’]を使った2回目のチェックでは、$this->conf(Base::O_CRAWLER_RUN_DURATION)設定に基づいてハッシュのTTL(有効期間)が確認されます。この設定はデフォルトで400秒ですが、管理者が2500~4000秒に設定することで、前述の脆弱性が再現可能となります。
脆弱性が発生する構成
以下のようなLiteSpeed Cacheプラグインの設定が施されている場合、この脆弱性が発生する可能性があります。
- クローラー -> 一般設定 -> クローラー:オン
- クローラー -> 一般設定 -> 実行時間:2500~4000秒
- クローラー -> 一般設定 -> 実行間隔:2500~4000秒
- クローラー -> 一般設定 -> サーバー負荷制限:0
- クローラー -> シミュレーション設定 -> ロールシミュレーション:1(管理者権限を持つユーザーのID)
- クローラー -> 概要 -> アクティブ化:管理者以外のすべての行をオフにする
