赶紧更新W3 Total Cache插件:超百万个WordPress网站因该插件存在漏洞面临攻击风险
W3 Total Cache是一个流行的WordPress网站性能优化插件,最近被曝存在一个高危漏洞,该漏洞可能让攻击者获取敏感信息、滥用服务计划限制,甚至执行未经授权的操作。
这个漏洞被标记为CVE-2024-12365,严重性评分为8.5/10(高危)。漏洞的根源在于某个功能缺少权限检查,影响所有2.8.1及以下版本。
据“国家漏洞数据库”网站描述,“这使得具有‘订阅者’级别权限及以上的认证攻击者能够获取插件的nonce值,从而执行未经授权的操作,导致信息泄露、服务计划资源耗尽,还可以从该网络应用向任意位置发起网络请求。这些请求可被用来查询内部服务的信息,包括云应用中的实例元数据。”
WordPress和它的插件
WordPress插件库显示,W3 Total Cache的下载量超过一百万次,但只有不到一半(42.8%)的用户更新到了最新版本,这意味着仍有超过50万网站可能处于风险之中。该插件的开发商BoldGrid已经发布了修复补丁(版本2.8.2),而WordPress安全项目Wordfence也敦促所有用户立即安装更新。
作为全球最受欢迎的网站构建平台,WordPress目前大约支持了全网一半的网站。因此,它也成为了网络犯罪分子的热门目标。不过,由于WordPress本身的安全性相对较高,攻击者更多地将目标对准了第三方插件和主题,特别是那些开发者支持或社区维护较差的插件。
W3 Total Cache是一款功能强大的WordPress插件,旨在通过缓存内容、精简代码和优化服务器资源来提高网站性能。它声称能够减少加载时间、提升用户体验,并通过内容分发网络(CDN)支持和数据库缓存等功能优化SEO表现。