聲明：該文章來自（藍(lán)點網(wǎng)）版權(quán)由原作者所有，K2OS渲染引擎提供網(wǎng)頁加速服務(wù)。

安裝在超過 100 萬個網(wǎng)站上的 WordPress 頂級緩存插件 W3 Total Cache 日前披露高危安全漏洞，借助該漏洞攻擊者能夠訪問各種信息甚至訪問基于云的應(yīng)用程序元數(shù)據(jù)。

W3 Total Cache 是個非常知名的緩存插件，可以將 WordPress 網(wǎng)站的文章數(shù)據(jù)等數(shù)據(jù)生成緩存從而加速網(wǎng)站訪問速度、減少加載時間并提高 SEO 排名等。

也正是如此相當(dāng)多的網(wǎng)站都使用 W3 Total Cache 插件 (藍(lán)點網(wǎng)此前也使用過該插件)，而漏洞則影響 W3 Total Cache v2.8.2 之前的所有版本，目前該插件的開發(fā)團(tuán)隊已經(jīng)在最新推出的 2.8.2 版中修復(fù)漏洞。

漏洞由網(wǎng)絡(luò)安全公司 Wordfence 發(fā)現(xiàn)，分配的編號為 CVE-2024-12365，漏洞原因則是舊版本中的 is_w3tc_admin_page 函數(shù)缺少檢查功能，因此攻擊者可以通過安全隨機數(shù)執(zhí)行未經(jīng)授權(quán)的操作。

下面是關(guān)于該漏洞的通報信息：

服務(wù)端請求偽造 (SSRF)：發(fā)出可能暴露敏感數(shù)據(jù)的 Web 請求，包括基于云的應(yīng)用程序上的實例元數(shù)據(jù)等

服務(wù)濫用：借助該漏洞攻擊者可以消耗服務(wù)器資源，這可能會影響網(wǎng)站性能并顯著增加成本

影響范圍：W3 Total Cache v2.8.2 之前的所有版本

修復(fù)版本：W3 Total Cache v2.8.2

統(tǒng)計數(shù)據(jù)顯示在開發(fā)者推出新版本修復(fù)漏洞后，目前大約有 15 萬個網(wǎng)站已經(jīng)通過自動更新或手動更新方式完成升級，但還有幾十萬甚至更多網(wǎng)站仍然在使用舊版本插件。

隨著安全漏洞的披露接下來針對 W3 Total Cache 的攻擊也會隨之到來，所以如果你使用 W3 Total Cache 插件請立即升級以免遭到黑客利用。

如果你的服務(wù)器無法直接連接 WordPress 服務(wù)器升級插件，請備份網(wǎng)站數(shù)據(jù)、網(wǎng)站數(shù)據(jù)庫以及插件設(shè)置等數(shù)據(jù)后，手動下載 W3 Total Cache 插件并在服務(wù)器上執(zhí)行手動升級操作。

下載地址：https://wordpress.org/plugins/w3-total-cache/

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/