WordPress Plugin Vulnerability Exposes 7 Million Sites to XSS Attack
2025/10/29 CyberSecurityNews — WordPress の人気プラグイン LiteSpeed Cache に発見された、深刻なクロスサイト・スクリプティング (XSS) の脆弱性 CVE-2025-12450 により、世界中の数百万の Web サイトに影響が及んでいる。このプラグインは、WordPress エコシステムで最も広く使用されるパフォーマンス最適化ツールの一つであり、700 万以上のアクティブ・インストール数を有するため、サイトの訪問者と管理者の双方に深刻なリスクをもたらすことになる。
LiteSpeed Cache は、コンテンツのキャッシュ化とサーバ応答の最適化を実現することで、Web サイトの読み込み速度を向上させるものだ。しかし、新たに発見された脆弱性 CVE-2025-12450 を悪用する攻撃者は、悪意のスクリプトを Web ページに挿入する可能性を手にしているため、セキュリティが損なわれる恐れがある。
脆弱性の理解
この脆弱性は、プラグインの URL 処理における、不十分な入力のサニタイズと出力のエスケープに起因する。つまり、適切なクリーンアップが行われていないユーザー提供データが、Web ページに表示されるという状況にある。
悪意のリンクを作成する攻撃者は、ユーザーを誘導してクリックを促し、この脆弱性を悪用する。その結果として、ブラウザ上で任意の JavaScript が実行され、機密情報やセッション Cookie の窃取などが生じ、さらには、ユーザーを装う不正操作にいたる可能性がある。
ユーザー操作が不要な蓄積型 XSS と比べて、この反射型 XSS の深刻度は低いが、それでも危険な脆弱性である。メール/ソーシャルメディア/侵害済み Web サイトなどに拡散された悪意のリンクを、WordPress サイトにログイン状態のユーザーがクリックすると、アカウント乗っ取り/機密情報窃取/Cookie 窃取などの被害に遭う可能性がある。
この脆弱性が影響を及ぼす範囲は、LiteSpeed Cache のバージョン 7.5.0.1 以下となる。
| Property | Details |
| CVE ID | CVE-2025-12450 |
| CVSS Score | 6.1 (Medium) |
| Vulnerability Type | Improper Neutralization of Input During Web Page Generation (Cross-site Scripting) |
| Affected Versions | Up to 7.5.0.1 |
すでに LiteSpeed Cache のセキュリティ・チームは、適切な入力サニタイズおよび出力エスケープのメカニズムを実装した、バージョン 7.6 で修正パッチを公開している。WordPress サイト管理者に対して強く推奨されるのは、バージョン 7.6 以降へと速やかにアップデートし、このセキュリティ・ギャップを解消することだ。
この脆弱性の深刻度は、CVSS スコア 6.1 (Medium) と評価されている。Critical/High ではないが、このプラグインが広く使用されていることを考えると、パッチの適用が遅滞すると、膨大な数の Web サイトに危険が及ぶことになる。
LiteSpeed Cache プラグインを使用している Web サイト管理者に対して強く推奨されるのは、WordPress プラグイン・ダッシュボードから、バージョン 7.6 へと速やかに更新することだ。さらに、サイト上の不審なアクティビティを監視し、XSS 攻撃に対する追加防御層として WAF の導入も検討すべきである。
この脆弱性の原因は、LiteSpeed Cache プラグインの URL 処理部分に存在する、不十分な入力データのサニタイズと出力のエスケープにあります。本来であれば、ユーザーが入力した情報は安全に処理される必要がありますが、その検証が甘いことで、悪意のスクリプトを埋め込まれる可能性が生じています。その結果として、攻撃者の用意した悪意のリンクを、ユーザーがクリックするだけで、ブラウザ上で不正な JavaScript が実行されるおそれがあると、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、WordPress で検索を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.