WordPressのAruba HiSpeed Cacheプラグインは、バージョン3.0.4およびそれ以前のすべてのバージョンで、クロスサイトリクエストフォージェリ (Cross-Site Request Forgery) の脆弱性を抱えています。これは、`ahsc_ajax_reset_options()`関数におけるnonce検証の欠如が原因です。これにより、認証されていない攻撃者が、サイト管理者へのアクション誘導（リンクのクリックなど）によって、偽装されたリクエストを送信することで、プラグインの設定をデフォルト値にリセットできる可能性があります。

このXSRF脆弱性を悪用されると、攻撃者はサイト管理者を欺き、悪意のあるリクエストを実行させることで、Aruba HiSpeed Cacheプラグインの設定を完全にリセットできます。これにより、キャッシュ機能が無効化され、サイトのパフォーマンスが低下する可能性があります。また、設定のリセットは、サイトのセキュリティ設定にも影響を及ぼし、他の攻撃を容易にする可能性があります。攻撃者は、巧妙なソーシャルエンジニアリングの手法を用いて、管理者を誘導し、悪意のあるリンクをクリックさせることが考えられます。

Websites utilizing the Aruba HiSpeed Cache plugin, particularly those with shared hosting environments or where plugin updates are not performed regularly, are at risk. WordPress administrators who routinely click on links from untrusted sources are also vulnerable.

• wordpress / composer / npm:

grep -r 'ahsc_ajax_reset_options()' /var/www/html/wp-content/plugins/aruba-hispeed-cache/

• wordpress / composer / npm:

wp plugin list --status=all | grep aruba-hispeed-cache

• wordpress / composer / npm:

wp plugin update aruba-hispeed-cache --all

1. 2026-04-10Disclosure

   disclosure

1. 予約済み2026-02-04
2. 公開日2026-04-10
3. 更新日2026-04-13
4. EPSS 更新日2026-04-17

Aruba HiSpeed Cacheプラグインをバージョン3.0.5以降にアップデートすることが、この脆弱性に対する最も効果的な対策です。アップデートが困難な場合は、WordPressのセキュリティプラグインを利用してXSRF攻撃を防御するWAFルールを実装することを検討してください。また、管理者のアカウントへのアクセスを厳格に管理し、不審なリンクをクリックしないよう注意喚起することも重要です。プラグインのアップデート後、設定が正常に適用されていることを確認してください。