WordPress知名快取套件W3 Total Cache被發現存在CVE-2024-12365高風險的安全漏洞,可能有超過100萬個網站面臨資料洩露和伺服器資源濫用的威脅。雖然開發者已在2.8.2版本中修補漏洞,但大部分網站尚未更新。
W3 Total Cache是WordPress平臺受廣受歡迎的快取套件,其主要功能是透過快取技術加速網站載入速度、減少伺服器負載,並提升搜尋引擎排名。根據WordPress官方的套件統計資料,W3 Total Cache套件活躍安裝數已超過百萬。
該漏洞的問題出在套件的is_w3tc_admin_page函式,因缺乏權限檢查,讓具備訂閱者等級權限的使用者可以進行未經授權的操作。攻擊者藉此能夠取得重要的安全詞(Nonce),進一步發送伺服器端請求(SSRF)來存取內部服務資訊,甚至可能洩露雲端應用的執行個體後設資料。此一漏洞影響範圍廣泛,特別是對於使用雲端架構的網站,可能導致進一步的攻擊風險。
該漏洞由於攻擊門檻相對較低,因此對網站管理者來說風險也就較高,只需擁有基本帳號權限的攻擊者就能發起攻擊,進一步利用網站伺服器作為跳板,對其他服務發動攻擊。受影響的網站還可能因攻擊導致服務配額被大量消耗,影響網站效能,甚至可能增加營運成本。
該漏洞影響所有2.8.1及更早版本的套件,W3 Total Cache開發者已經在最新的2.8.2版本中修補了CVE-2024-12365漏洞。但是根據官方套件的統計資料顯示,尚有大量網站未及時更新,大量網站仍暴露於風險之中。
為避免網站遭受攻擊,網站管理者應立即升級W3 Total Cache套件至最新的2.8.2 或更高版本,並考慮使用網頁應用程式防火牆(WAF)來阻擋潛在濫用行為。
熱門新聞
2025-01-30
2025-01-31
2025-01-26
2025-01-27
2025-01-27
2025-01-26
2025-01-27