頂級(jí)WordPress緩存插件W3 Total Cache存在高危漏洞請(qǐng)立即升級(jí)

安全 PRO 稿源：藍(lán)點(diǎn)網(wǎng) 2025-01-18 17:54

安裝在超過 100 萬個(gè)網(wǎng)站上的 WordPress 頂級(jí)緩存插件 W3 Total Cache 日前披露高危安全漏洞，借助該漏洞攻擊者能夠訪問各種信息甚至訪問基于云的應(yīng)用程序元數(shù)據(jù)。

W3 Total Cache 是個(gè)非常知名的緩存插件，可以將 WordPress 網(wǎng)站的文章數(shù)據(jù)等數(shù)據(jù)生成緩存從而加速網(wǎng)站訪問速度、減少加載時(shí)間并提高 SEO 排名等。

也正是如此相當(dāng)多的網(wǎng)站都使用 W3 Total Cache 插件 (藍(lán)點(diǎn)網(wǎng)此前也使用過該插件)，而漏洞則影響 W3 Total Cache v2.8.2 之前的所有版本，目前該插件的開發(fā)團(tuán)隊(duì)已經(jīng)在最新推出的 2.8.2 版中修復(fù)漏洞。

漏洞由網(wǎng)絡(luò)安全公司 Wordfence 發(fā)現(xiàn)，分配的編號(hào)為 CVE-2024-12365，漏洞原因則是舊版本中的 is_w3tc_admin_page 函數(shù)缺少檢查功能，因此攻擊者可以通過安全隨機(jī)數(shù)執(zhí)行未經(jīng)授權(quán)的操作。

下面是關(guān)于該漏洞的通報(bào)信息：

服務(wù)端請(qǐng)求偽造 (SSRF)：發(fā)出可能暴露敏感數(shù)據(jù)的 Web 請(qǐng)求，包括基于云的應(yīng)用程序上的實(shí)例元數(shù)據(jù)等

服務(wù)濫用：借助該漏洞攻擊者可以消耗服務(wù)器資源，這可能會(huì)影響網(wǎng)站性能并顯著增加成本

影響范圍：W3 Total Cache v2.8.2 之前的所有版本

修復(fù)版本：W3 Total Cache v2.8.2

統(tǒng)計(jì)數(shù)據(jù)顯示在開發(fā)者推出新版本修復(fù)漏洞后，目前大約有 15 萬個(gè)網(wǎng)站已經(jīng)通過自動(dòng)更新或手動(dòng)更新方式完成升級(jí)，但還有幾十萬甚至更多網(wǎng)站仍然在使用舊版本插件。

隨著安全漏洞的披露接下來針對(duì) W3 Total Cache 的攻擊也會(huì)隨之到來，所以如果你使用 W3 Total Cache 插件請(qǐng)立即升級(jí)以免遭到黑客利用。

如果你的服務(wù)器無法直接連接 WordPress 服務(wù)器升級(jí)插件，請(qǐng)備份網(wǎng)站數(shù)據(jù)、網(wǎng)站數(shù)據(jù)庫以及插件設(shè)置等數(shù)據(jù)后，手動(dòng)下載 W3 Total Cache 插件并在服務(wù)器上執(zhí)行手動(dòng)升級(jí)操作。

下載地址：https://wordpress.org/plugins/w3-total-cache/

0XU.CN