Над 1 милион WordPress сайтове изложени на риск
Наскоро открит недостатък позволява достъп до чувствителна информация
W3 Total Cache, популярен плъгин за оптимизация на производителността на WordPress сайтове, се оказа с високорискова уязвимост,съобщава TechRadar.
Тя позволява достъп до чувствителна информация, злоупотреба с лимитите на плановете за услуги и извършване на неразрешени действия.
Уязвимостта е регистрирана като CVE-2024-12365 и има оценка за сериозност 8.5/10 (висока). Тя възниква поради липса на проверка за права в една от функциите и засяга всички версии до и включително 2.8.1.
"Това позволява на удостоверени нападатели с достъп на ниво Subscriber или по-високо да получат стойността на nonce (уникален токен) на плъгина и да извършват неразрешени действия, което води до разкриване на информация, изчерпване на лимитите за плановете за услуги, както и извършване на уеб заявки към произволни локации. Тези заявки могат да се използват за извличане на информация от вътрешни услуги, включително метаданни за инстанции в облачно базирани приложения," се посочва в уебсайта на Националната база данни за уязвимости (National Vulnerability Database).
В хранилището за плъгини на WordPress е отбелязано, че W3 Total Cache има над един милион изтегляния, като по-малко от половината (42.8%) използват най-новата версия. Това означава, че над 500 000 уебсайта все още може да са уязвими.
Производителят на плъгина, BoldGrid, е пуснал корекция с версия 2.8.2, а проектът за сигурност на WordPress - Wordfence, призовава всички потребители незабавно да приложат поправката.
WordPress е най-популярната платформа за създаване на уебсайтове в света, захранвайки приблизително половината от всички сайтове в интернет.
Поради тази причина тя е и популярна цел за киберпрестъпници. Тъй като самата платформа е относително сигурна, злонамерените актьори се фокусират предимно върху плъгини и теми от трети страни, особено такива с ниско ниво на поддръжка от разработчици или общността.
W3 Total Cache е мощен плъгин за WordPress, предназначен за подобряване на производителността на уебсайтове чрез кеширане на съдържание, минимизиране на код и оптимизация на сървърни ресурси. Той твърди, че може да намали времето за зареждане, да подобри потребителското изживяване и да оптимизира SEO, като интегрира функции като поддръжка на мрежи за доставяне на съдържание (CDN) и кеширане на база данни.