Специалисты по кибербезопасности обнаружили серьезную уязвимость в популярном WordPress-плагине W3 Total Cache, которая затрагивает более миллиона активных установок. Данная проблема безопасности, получившая идентификатор CVE-2024-12365, позволяет злоумышленникам с минимальными правами доступа получить контроль над критически важными функциями сайта.
Технические детали уязвимости
Исследователи компании Wordfence выявили, что уязвимость связана с недостаточной проверкой прав доступа в функции is_w3tc_admin_page. Проблема присутствует во всех версиях плагина до 2.8.2 и позволяет атакующему, имеющему даже базовые права подписчика, получить доступ к административному nonce-токену и выполнить неавторизованные действия.
Потенциальные риски и последствия
Эксплуатация уязвимости CVE-2024-12365 может привести к серьезным последствиям для безопасности сайта, включая:
— Несанкционированный доступ к конфиденциальным метаданным облачных сервисов
— Возможность изменения системных настроек кэширования
— Потенциальное нарушение работоспособности сайта
— Риск компрометации данных пользователей
Статистика распространения и обновления
По данным официального репозитория wordpress.org, около 150 000 сайтов уже установили патч безопасности. Однако сотни тысяч ресурсов остаются уязвимыми для потенциальных атак. Учитывая широкое распространение W3 Total Cache как инструмента оптимизации производительности, масштаб угрозы остается значительным.
Администраторам сайтов настоятельно рекомендуется незамедлительно обновить W3 Total Cache до версии 2.8.2, в которой устранена уязвимость. Также следует провести аудит системных логов на предмет возможных попыток эксплуатации данной уязвимости и внедрить дополнительные меры защиты, включая регулярное резервное копирование и мониторинг безопасности.
