Десетки хиляди сайтове са в риск заради уязвим олъгин
Десетки хиляди уеб сайтове, основани на основата на WordPress, са в риск поради узвимост в известен плъгин. За това сигнализират Wordfence в неотдавна оповестен бюлетин. Става дума за W3 Total Cache – WP плъгин, употребен от над един милион интернет ресурса по целия свят. Плъгинът се употребява за усъвършенстване на зареждането на страниците и скоростта на уеб страницата, както и SEO оптимизация.
От компанията означават, че въпреки и неотдавна поддържащите плъгина да са издали актуализация за казуса, голям брой WordPress са към момента необновени.
Уязвимостта се крие в изчезнала функционалност в is_w3tc_admin_page функционалността във всички версии на W3 Total Cache до 2.8.2.
Уязвимостта разрешава на вписали се консуматори на уеб страницата с привилегии на „ клиент “ (Subscriber) и нагоре да получат достъп до nonce цената и извършат непозволени дейности, изясняват Wordfence. Степента на риск (CVSS), изхождаща от експлоатиране на CVE-2024-12365 е 8.5/10 и е избрана за „ висока “.
От компанията дават информация и за съответните опасности, произлизащи от възможното експлоатиране на остарели версии на W3 Total Cache. Като да вземем за пример откриване на информация, нарушаването на естественото действие на услугата и отправянето на уеб поръчки, които могат да разкрият метаданните на клауд основани приложения.
