Уязвимость в плагине W3 Total Cache для WordPress позволяет утечку данных и другие атаки
Краткое изложение проблемы:
- Обнаружена уязвимость в популярном плагине W3 Total Cache для оптимизации производительности сайтов на WordPress, что позволяет злоумышленникам получить доступ к конфиденциальной информации и выполнять несанкционированные действия.
- Уязвимость затрагивает все версии плагина вплоть до 2.8.2, которую выпустили для устранения проблемы.
- Сотни тысяч сайтов на WordPress остаются уязвимыми.
Описание уязвимости: Уязвимость, зарегистрированная как CVE-2024-12365, имеет высокий уровень опасности с оценкой 8.5 из 10. Проблема возникает из-за отсутствующего контроля возможностей в одной из функций плагина и затрагивает все версии до 2.8.1 включительно.
На сайте Национальной базы данных уязвимостей сообщается, что аутентифицированные злоумышленники с уровнем доступа «Подписчик» и выше могут получить значение nonce плагина. Это позволяет им выполнять несанкционированные действия, раскрывая информацию, злоупотребляя лимитами тарифных планов и отправляя веб-запросы в произвольные местоположения через веб-приложение. Эти действия могут использоваться для получения данных из внутренних сервисов, включая метаданные экземпляров на облачных платформах.
Текущая ситуация: Согласно репозиторию плагинов WordPress, W3 Total Cache был загружен более миллиона раз, при этом менее половины пользователей (42.8%) используют последнюю версию, что оставляет более 500,000 сайтов открытыми для атак.
Вендор плагина, компания BoldGrid, выпустила обновление версии 2.8.2 для устранения проблемы. Проект Wordfence по безопасности WordPress настоятельно рекомендует всем пользователям применить исправление незамедлительно.
Платформа WordPress: WordPress является самой популярной платформой для создания сайтов, обслуживающей примерно половину всех сайтов в интернете. Из-за своей популярности, WordPress часто становится целью киберпреступников. Однако, так как сама платформа достаточно защищена, злоумышленники в основном нацелены на сторонние плагины и темы, особенно те, которые имеют слабую поддержку со стороны разработчиков и сообщества.
Описание плагина: W3 Total Cache — мощный плагин для WordPress, разработанный для улучшения производительности сайта путем кэширования контента, минимизации кода и оптимизации ресурсов сервера. Он заявляет о возможности сокращения времени загрузки, улучшения пользовательского опыта и повышения SEO за счет поддержки сетей доставки контента (CDN) и кэширования баз данных.
Источник: TechRadar
