WordPress : cette faille dans le plugin W3 Total Cache expose 1 million de sites à des attaques !
Une faille de sécurité sévère touche l'extension W3 Total Cache pour WordPress et pourrait permettre à un attaquant d'accéder à diverses informations. Voici ce qu'il faut savoir.
L'extension W3 Total Cache est utilisée par plus d'un million de sites WordPress, dans le but d'améliorer les performances des sites grâce à la mise en cache. Elle a une très bonne réputation, et c'est une référence pour WordPress, au même titre que WP Rocket, une extension concurrente.
La nouvelle vulnérabilité, associée à la référence CVE-2024-12365 et à un score CVSS de 8.5 sur 10, est dû à une vérification de capacité manquante dans la fonction "is_w3tc_admin_page" du plugin. Ainsi, elle expose les propriétaires de sites WordPress aux risques suivants :
- Attaque Server-Side Request Forgery (SSRF) : effectuer des requêtes web qui pourraient potentiellement exposer des données sensibles, y compris des métadonnées d'applications basées sur le cloud.
- Divulgation d'informations
- Abuser de l'utilisation du service : consommer les limites du service de cache, ce qui a un impact sur les performances du site et peut entraîner une augmentation des coûts.
Un attaquant peut exploiter cette vulnérabilité s'il est connecté à WordPress, au minimum en tant qu'abonné. C'est une condition qu'il est facile de remplir sur de nombreux sites puisqu'il s'agit du niveau d'accès le plus bas, lorsque l'inscription est autorisée.
"Cela permet à des attaquants authentifiés, disposant d'un accès de niveau Abonné ou supérieur, d'obtenir la valeur nonce du plugin et d'effectuer des actions non autorisées.", peut-on lire sur le site de Wordfence.
Qui est affecté ? Comment se protéger ?
La version 2.8.1 et toutes les versions inférieures de W3 Total Cache sont vulnérables à la CVE-2024-12365. Pour vous protéger, vous devez impérativement utiliser la version 2.8.2 de l'extension, ou une version supérieure lorsqu'il y en aura une. Cette mise à jour de sécurité a été publiée le 17 décembre 2024 par les développeurs, il y a donc exactement 1 mois.
Des centaines de milliers d'instances WordPress sont actuellement vulnérables à cette faille de sécurité. D'après les statistiques disponibles sur le site de WordPress, seulement 42.8% des installations de ce plugin utilisent la version 2.8.X. Il y a eu un pic de téléchargements le 18 décembre 2024, avec près de 195 000 téléchargements, mais cela est loin de couvrir toutes les installations.
Enfin, terminons par préciser, qu'à ce jour, aucune étude n'évoque l'exploitation de cette vulnérabilité par les attaquants.
