HIGHCVE-2024-47637CVSS 8.8

WordPress LiteSpeed Cache プラグイン <= 6.4.1 - パス・トラバーサル脆弱性

Q: CVE-2024-47637 — パス・トラバーサル脆弱性はLiteSpeed Cacheで何ですか？

CVE-2024-47637は、LiteSpeed Cacheのバージョン6.4.1以前に存在するパス・トラバーサル脆弱性であり、攻撃者がサーバー上の機密ファイルにアクセスできる可能性があります。

Q: CVE-2024-47637で影響を受けますか？

LiteSpeed Cacheのバージョンが6.4.1以前の場合は、影響を受けます。6.4.2へのアップデートが必要です。

Q: CVE-2024-47637を修正するにはどうすればよいですか？

LiteSpeed Cacheをバージョン6.4.2にアップデートしてください。アップデートできない場合は、Webサーバーの設定を見直し、ファイルアクセス権限を適切に設定してください。

Q: CVE-2024-47637は積極的に悪用されていますか？

現時点では公開されているPoCは確認されていませんが、パス・トラバーサル脆弱性は悪用が容易なため、早期の悪用が懸念されます。

Q: CVE-2024-47637に関するLiteSpeed Cacheの公式アドバイザリはどこで入手できますか？

LiteSpeed Technologiesの公式ウェブサイトでアドバイザリを確認してください。

プラットフォーム

wordpress

コンポーネント

litespeed-cache

修正版

6.4.2

AI Confidence: highNVDEPSS 1.7%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2024-47637は、LiteSpeed TechnologiesのLiteSpeed Cacheにおいて、パス・トラバーサル脆弱性が存在します。この脆弱性を悪用されると、攻撃者はサーバー上の機密ファイルにアクセスできる可能性があります。影響を受けるバージョンはLiteSpeed Cache 6.4.1以前であり、6.4.2へのアップデートで脆弱性が修正されています。

影響と攻撃シナリオ

このパス・トラバーサル脆弱性は、攻撃者がLiteSpeed Cacheの設定ファイルや、Webサーバーがアクセス可能な他のファイルにアクセスすることを可能にします。攻撃者は、機密情報（データベースの認証情報、APIキー、ソースコードなど）を盗み出し、Webサイトを改ざんしたり、サーバーを完全に制御したりする可能性があります。この脆弱性は、Webサイトの機密性と完全性を脅かす重大なリスクをもたらします。類似の脆弱性は、Webサーバーの設定ミスや、不適切なファイルアクセス制御によって発生することがあります。

悪用の状況

CVE-2024-47637は2024年10月16日に公開されました。現時点では、公開されているPoCは確認されていませんが、パス・トラバーサル脆弱性は悪用が容易なため、早期の悪用が懸念されます。CISAのKEVリストへの登録状況は不明です。NVDデータベースも参照し、最新の情報を確認してください。

リスク対象者翻訳中…

WordPress websites utilizing LiteSpeed Cache plugin versions 6.4.1 and earlier are at direct risk. Shared hosting environments are particularly vulnerable, as attackers may be able to exploit this vulnerability to gain access to other websites hosted on the same server. Sites with misconfigured file permissions are also at increased risk.

検出手順翻訳中…

• wordpress / composer / npm:

grep -r "../" /var/www/html/wp-content/plugins/lite-speed-cache/

• generic web:

curl -I 'https://your-wordpress-site.com/../../../../etc/passwd' # Check for file disclosure

攻撃タイムライン

2024-10-16Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

1.74% (82% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響total

影響を受けるソフトウェア

コンポーネントlitespeed-cache

ベンダーLiteSpeed Technologies

影響範囲修正版

n/a – 6.4.16.4.2

弱点分類 (CWE)

CWE-23

タイムライン

予約済み2024-09-30
公開日2024-10-16
EPSS 更新日2026-04-02

緩和策と回避策

LiteSpeed Cache 6.4.2へのアップデートが推奨されます。アップデートできない場合は、Webサーバーの設定を見直し、LiteSpeed Cacheがアクセスできるファイルの範囲を制限してください。WAF（Web Application Firewall）を導入し、パス・トラバーサル攻撃を検知・防御するルールを設定することも有効です。また、ファイルアクセス権限を適切に設定し、不要なファイルへのアクセスを制限することで、攻撃の影響範囲を最小限に抑えることができます。アップデート後、LiteSpeed Cacheの設定を確認し、不正なファイルアクセスがないことを確認してください。

修正方法翻訳中…

Actualice el plugin LiteSpeed Cache a la última versión disponible. La vulnerabilidad de Path Traversal ha sido corregida en versiones posteriores a la 6.4.1. Puede actualizar el plugin directamente desde el panel de administración de WordPress.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-47637 — パス・トラバーサル脆弱性はLiteSpeed Cacheで何ですか？