Hébergeur Spécialiste WordPress

Blog
Doc
Portail

Une faille critique dans W3 Total Cache

Les équipes de WordFence (un plugin de sécurité WordPress) nous ont remonté une faille de sécurité CVE-2024-12365, de criticité CVSS 8.5/10.

Qu’est-ce que W3 Total Cache ?

W3 Total Cache est un plugin de cache sérieux, performant et hautement personnalisable, que nous recommandons chaudement. Utilisé par plus d’un million de sites, il se distingue par sa fiabilité, ses nombreux paramétrages et le support du cache Redis.

Quel est le risque de cette faille ?

Le plugin W3 Total Cache pour WordPress présente une vulnérabilité d’accès non autorisé aux données en raison de l’absence de vérification des capacités dans la fonction is_w3tc_admin_page dans toutes les versions jusqu’à, et y compris, la version 2.8.1. Cette vulnérabilité permet à des attaquants authentifiés, disposant d’un accès au niveau Abonné ou supérieur, d’obtenir la valeur nonce du plugin et d’exécuter des actions non autorisées. Cela peut entraîner :

  • Divulgation d’informations : Les attaquants peuvent accéder à des données sensibles.
  • Consommation des limites du plan de service : Une surcharge des ressources peut entraîner des interruptions de service et des coûts accrus.
  • Requêtes web vers des emplacements arbitraires : Les attaquants peuvent inciter l’application web à effectuer des requêtes vers des services internes, y compris la récupération de métadonnées d’instance dans des environnements basés sur le cloud.

Ces actions exploitent la vulnérabilité pour compromettre la confidentialité, les ressources et les services internes des applications concernées. En somme, cela peut permettre le piratage d’un site web.

Quelle est l’ampleur de l’impact ?

Plus de 1 millions de sites touchés, dont quelques dizaines de sites hébergés chez LRob.

Quelles sont les versions touchées ?

Toutes les versions inférieures ou égales à 2.8.1 sont touchées. La première version patchée est la 2.8.2.

Comment LRob a géré le souci ?

90% des sites impactés sont en mise à jour automatiques faites directement par le serveur web, ce qui signifie que les sites été sécurisés automatiquement sous 24h après la mise à disposition du patch.

La faille ayant été révélée le 15 Janvier, nous en avons été alertés le jour même dans l’après-midi et avons fait la mise à jour manuellement pour les sites en mise à jour manuelle le 17 Janvier au matin.

Cela n’a donc eu aucune incidence négative chez LRob.

Pour bénéficier de cette attention privilégiée pour votre site WordPress,
hébergez votre site chez LRob !

Chosir mon hébergement

Partager ce post

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Catégories

Derniers Articles

Hébergement Web

Réussissez sur le web

Sécurité, performances, simplicité.
Les meilleurs outils pour vous servir.

Voir les offres

Hébergement Nextcloud

Nextcloud

La meilleure suite collaborative libre

Maintenance Incluse

En savoir plus

Webmaster Spécialiste WordPress

Gestion de site web WordPress

Webmaster spécialiste WordPress à Orléans

Confiez votre site à un expert en sécurité et maintenance WordPress

En savoir plus

Derniers Articles

fr_FR
en_US fr_FR