Une faille grave dans le plugin W3 Total Cache installé sur plus d’un million de sites WordPress pourrait donner aux attaquants l’accès à diverses informations, y compris les métadonnées sur les applications basées sur le cloud.
Le plugin W3 Total Cache utilise plusieurs techniques de mise en cache pour optimiser la vitesse d’un site Web, réduire les temps de chargement et améliorer généralement son classement SEO.
La faille est suivie comme CVE-2024-12365 bien que le développeur ait publié un correctif dans la dernière version du produit, des centaines de milliers de sites Web doivent encore installer la variante corrigée.
Détails de la vulnérabilité
Wordfence note que le problème de sécurité est dû à une vérification de fonctionnalité manquante dans la fonction ‘is_w3tc_admin_page’ dans toutes les versions jusqu’à la dernière, 2.8.2. Cette erreur permet d’accéder à la valeur de nonce de sécurité du plugin et d’effectuer des actions non autorisées.
L’exploitation de la vulnérabilité est possible si l’attaquant est authentifié et a au moins le niveau de l’abonné, une condition qui est facilement remplie.
Les principaux risques qui découlent de l’exploitation de CVE-2024-12365 sont:
- Falsification de requêtes côté serveur (SSRF): effectuez des requêtes Web susceptibles d’exposer des données sensibles, y compris des métadonnées d’instance sur des applications basées sur le cloud
- Divulgation d’informations
- Abus de service: consommez les limites du service de cache, qui ont un impact sur les performances du site et peuvent générer des coûts accrus
En ce qui concerne l’impact réel de cette faille, les attaquants pourraient utiliser l’infrastructure du site Web pour transmettre des demandes à d’autres services et utiliser les informations collectées pour organiser d’autres attaques.
La meilleure action à entreprendre pour les utilisateurs concernés est de passer à la dernière version de la version W3 Total Cache, 2.8.2, qui corrige la vulnérabilité.
Télécharger les statistiques depuis wordpress.org indiquez qu’environ 150 000 sites Web ont installé le plugin après que le développeur a publié la mise à jour la plus récente, laissant des centaines de milliers de sites WordPress toujours vulnérables.
En règle générale, les propriétaires de sites Web doivent éviter d’installer trop de plugins et se débarrasser des produits qui ne sont pas absolument nécessaires.
De plus, un pare-feu d’application Web pourrait s’avérer bénéfique car il pourrait identifier et bloquer les tentatives d’exploitation.