CERTMIL

Centrul de Răspuns la Incidente de Securitate Cibernetică

Vulnerabilitatea plugin-ului W3 Total Cache expune 1 milion de site-uri WordPress la atacuri

17 ianuarie 2025

Sursă: https://www.bleepingcomputer.com

O vulnerabilitate importantă în plugin-ul W3 Total Cache instalat pe mai mult de un milion de site-uri WordPress ar putea oferi atacatorilor acces la diverse informații, inclusiv la metadatele aplicațiilor bazate pe cloud.

Pluginul W3 Total Cache utilizează mai multe tehnici de caching pentru a optimiza viteza unui site web, pentru a reduce timpii de încărcare și, în general, pentru a-i îmbunătăți clasamentul SEO.

Vulnerabilitatea, CVE-2024-12365, în ciuda faptului că dezvoltatorul a lansat o remediere în cea mai recentă versiune a produsului, sute de mii de site-uri web încă nu au instalat varianta remediată.

Wordfence notează că vulnerabilitatea se datorează lipsei unei verificări de capabilități în funcția is_w3tc_admin_page în toate versiunile până la cea mai recentă, 2.8.2. Această vulnerabilitate permite accesul la valoarea nonce de securitate a pluginului și efectuarea de acțiuni neautorizate.

Exploatarea vulnerabilității este posibilă dacă atacatorul este autentificat și are cel puțin nivelul de abonat, o condiție care este ușor de îndeplinit.

Principalele riscuri care rezultă din exploatarea CVE-2024-12365 sunt:

  • Server-Side Request Forgery (SSRF): efectuarea de solicitări web care ar putea expune date sensibile, inclusiv metadatele instanței pe aplicații bazate pe cloud;
  • Dezvăluirea de informații;
  • Abuzul de serviciu: consumă limitele serviciului de cache, care au impact asupra performanței site-ului și pot genera costuri crescute.

Cea mai bună acțiune pentru utilizatorii afectați este să facă upgrade la cea mai recentă versiune a versiunii W3 Total Cache, 2.8.2, care remediază vulnerabilitatea.

Ca recomandări generale, posesorii de site-uri web ar trebui să evite instalarea a prea multe plugin-uri și să renunțe la produsele care nu sunt absolut necesare.

În plus, un firewall pentru aplicații web s-ar putea dovedi benefic, deoarece ar putea identifica și bloca încercările de exploatare.

Sursă: https://www.bleepingcomputer.com/news/security/w3-total-cache-plugin-flaw-exposes-1-million-wordpress-sites-to-attacks/

Ai mai putea citi

Firefox 148 lansat cu API Sanitizer pentru a dezactiva atacurile XSS

27 februarie 2026

Vulnerabilitate critică identificată în Juniper Networks PTX

27 februarie 2026

Trend Micro avertizează asupra unor vulnerabilități în Apex One

27 februarie 2026

PoC lansat pentru o vulnerabilitate din Windows

26 februarie 2026
© Ministerul Apărării Naţionale | Site realizat de Agenția de Apărare Cibernetică |