- Se descubrió una vulnerabilidad en el complemento W3 Total Cache de WordPress, que permite la divulgación de datos y más
- Esto afecta a todas las versiones hasta la 2.8.2, que se lanzaron en respuesta.
- Cientos de miles de sitios de WordPress siguen siendo vulnerables
W3 Total Cache, un popular complemento de WordPress para optimizar el rendimiento de sitios web, supuestamente tenía una vulnerabilidad de alta gravedad que permitía a los atacantes acceder a información confidencial, abusar de los límites del plan de servicios y realizar operaciones no autorizadas.
La vulnerabilidad se rastrea como CVE-2024-12365 y tiene una puntuación de gravedad de 8,5/10 (alta). Esto ocurre debido a una falta de verificación de capacidad en la función y afecta a todas las versiones hasta la 2.8.1 inclusive.
“Esto permite a atacantes autenticados, con acceso de nivel de suscripción o superior, obtener el valor nonce del complemento y realizar acciones no autorizadas, lo que resulta en la divulgación de información, un plan de servicio que limita el consumo, así como realizar solicitudes web a ubicaciones arbitrarias que se originan en la web. Una aplicación que se puede utilizar para consultar información de servicios internos, incluidos metadatos de instancias sobre aplicaciones basadas en la nube”, dijo el sitio web de la Base de datos nacional de vulnerabilidad.
WordPress y sus complementos
El repositorio de complementos de WordPress afirma que W3 Total Cache tiene más de un millón de descargas, y menos de la mitad (42,8% ejecuta la última versión), lo que significa que más de 500.000 sitios aún podrían ser vulnerables.
El proveedor de complementos, BoldGrid, ha lanzado un parche con su versión 2.8.2, y el proyecto de seguridad de WordPress Wordfence ha pedido a todos los usuarios que apliquen el parche inmediatamente.
WordPress es la plataforma más popular del mundo para crear sitios web y gestiona aproximadamente la mitad de todos los sitios web de Internet.
Como tal, también es un objetivo popular para los ciberdelincuentes, pero como la plataforma es relativamente segura, los actores de amenazas se centran principalmente en complementos y temas de terceros, especialmente aquellos con poco soporte de desarrolladores o de la comunidad.
W3 Total Cache es un potente complemento de WordPress diseñado para mejorar el rendimiento del sitio mediante el almacenamiento en caché del contenido, la minimización del código y la optimización de los recursos del servidor. Afirma poder ayudar a reducir los tiempos de carga, mejorar la experiencia del usuario y mejorar el SEO mediante la incorporación de funciones como soporte de red de entrega de contenido (CDN) y almacenamiento en caché de bases de datos.
a través de pitidocomputadora