WordPress プラグイン「LiteSpeed Cache」< 6.5.0.1。認証されていないアカウント乗っ取り
critical Nessus プラグイン ID 206971
Language:
概要
リモートの WordPress アプリケーションには、認証されていないアカウントの乗っ取りの脆弱性の影響を受けるプラグインがインストールされています。説明
リモートホストで実行されている WordPress アプリケーションの「LiteSpeed Cache」プラグインのバージョンは、6.5.0.1 より前です。したがって、認証されていないアカウントの乗っ取りの脆弱性の影響を受けます。プラグインは、認証されていないアカウント乗っ取りの脆弱性の影響を受けます。これにより、認証されていない訪問者が、ログインしているユーザーへの認証アクセスを取得し、悪意のあるプラグインがアップロードおよびインストールされた後に、最悪の場合、管理者レベルのロールを取得する可能性があります。Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
管理ダッシュボードを使用して、「LiteSpeed Cache」プラグインをバージョン 6.5.0.1 以降に更新してください。参考資料
https://wordpress.org/plugins/litespeed-cache/
プラグインの詳細
深刻度: Critical
ID: 206971
ファイル名: wordpress_plugin_litespeed_cache_CVE-2024-44000.nasl
バージョン: 1.2
タイプ: remote
ファミリー: CGI abuses
公開日: 2024/9/11
更新日: 2024/9/12
サポートされているセンサー: Nessus
リスク情報
CVSS v2
リスクファクター: Critical
基本値: 10
現状値: 7.8
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS スコアのソース: CVE-2024-44000
CVSS v3
リスクファクター: Critical
基本値: 9.8
現状値: 8.8
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
脆弱性情報
CPE: cpe:/a:litespeedtech:litespeed_cache
必要な KB アイテム: installed_sw/WordPress, www/PHP
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2024/9/5
脆弱性公開日: 2024/9/5
参照情報
CVE: CVE-2024-44000