Faille critique dans W3 Total Cache jusqu’à la version 2.8.1

En janvier 2025, une vulnérabilité majeure a été identifiée dans le plugin W3 Total Cache. Affectant toutes les versions jusqu’à la 2.8.1 incluse. Cette faille, référencée sous le code CVE-2024-12365. Permettait à des utilisateurs authentifiés, même avec des privilèges limités comme ceux d’un abonné, d’accéder à des informations sensibles et d’exécuter des actions non autorisées. Cette exploitation pouvait conduire à des attaques de type Server-Side Request Forgery (SSRF), où un attaquant pouvait manipuler le serveur vulnérable pour envoyer des requêtes en son nom. Compromettant ainsi des données internes ou des métadonnées de services cloud.

Autres vulnérabilités notables du plugin WordPress

Outre la faille CVE-2024-12365, d’autres vulnérabilités ont été signalées dans W3 Total Cache :

• Stockage de données sensibles en clair : Jusqu’à la version 2.7.5, le plugin stockait des informations sensibles. Telles que les secrets OAuth de Google, en texte brut dans le code source accessible publiquement. Cette exposition pouvait permettre à des attaquants non authentifiés d’usurper l’identité de W3 Total Cache. Et ainsi d’accéder à des informations utilisateur.
  
• Vulnérabilité XSS réfléchie : Les versions antérieures à la 2.1.4 étaient vulnérables à des attaques de type Cross-Site Scripting (XSS) réfléchies via le paramètre « extension » dans le tableau de bord des extensions. Un attaquant pouvait inciter un administrateur authentifié à cliquer sur un lien malveillant. Exécutant ainsi du JavaScript non autorisé dans le navigateur de l’utilisateur. Ce qui pouvait mener à une compromission complète du site.

Mesures de protection recommandées

Pour assurer la sécurité de votre site WordPress, il est essentiel de :

1. Mettre à jour régulièrement le plugin W3 Total Cache : Les développeurs publient fréquemment des correctifs pour remédier aux vulnérabilités identifiées. Assurez-vous d’utiliser la version la plus récente du plugin.
   
2. Surveiller les annonces de sécurité : Restez informé des nouvelles vulnérabilités en suivant les bulletins de sécurité officiels et les rapports des chercheurs en sécurité.
   
3. Limiter les privilèges utilisateur : Accordez aux utilisateurs uniquement les permissions nécessaires à leurs fonctions pour réduire les risques potentiels en cas de compromission.

En adoptant ces bonnes pratiques. Vous contribuerez ainsi à renforcer la sécurité de votre site WordPress et à protéger les données de vos utilisateurs contre les menaces potentielles.

Cet article vous a plu ? Lisez également : Instagram étend la durée des Reels à 3 minutes

L’article WordPress : protégez votre site des risques de W3 Total Cache est apparu en premier sur TechPaf.