Una grave falla nel plugin W3 Total Cache installato su più di un milione di siti WordPress potrebbe consentire agli aggressori di accedere a varie informazioni, inclusi i metadati sulle app basate su cloud. Il plugin W3 Total Cache utilizza più tecniche di caching per ottimizzare la velocità di un sito web e ridurre i tempi di caricamento. La falla è stata tracciata come CVE-2024-12365. Nonostante lo sviluppatore abbia rilasciato una correzione nell'ultima versione del prodotto, centinaia di migliaia di siti web devono ancora installare la variante patchata.

WordPress: i dettagli sulla vulnerabilità

Wordfence nota che il problema di sicurezza è dovuto a un controllo di capacità mancante nella funzione ‘is_w3tc_admin_page’ in tutte le versioni fino alla 2.8.2. Questo errore consente l'accesso al valore nonce di sicurezza del plugin e l'esecuzione di azioni non autorizzate. Sfruttare la vulnerabilità è possibile se l'attaccante è autenticato e ha almeno il livello di abbonato, una condizione che può essere facilmente soddisfatta.

Tra i principali rischi derivanti dallo sfruttamento di CVE-2024-12365 vi è il Server-Side Request Forgery (SSRF). In questo caso, potrebbero essere effettuate richieste web che potrebbero potenzialmente esporre dati sensibili, inclusi metadati di istanza su app basate su cloud. L’altro rischio riguarda la divulgazione di informazioni. Infine, vi è l’abuso di servizi. Si tratta di consumare i limiti del servizio cache, che influiscono sulle prestazioni del sito e possono generare costi maggiori. Per quanto riguarda l'impatto reale di questa falla, gli aggressori potrebbero usare l'infrastruttura del sito web per inoltrare richieste ad altri servizi e usare le informazioni raccolte per organizzare ulteriori attacchi. La migliore azione che gli utenti interessati possono intraprendere è quella di eseguire l'aggiornamento all'ultima versione di W3 Total Cache. La versione 2.8.2 risolve infatti la vulnerabilità in questione.

Le statistiche di download da wordpress.org indicano che circa 150.000 siti web hanno installato il plugin dopo che lo sviluppatore ha rilasciato l'aggiornamento più recente. Ad oggi però i siti WordPress ancora vulnerabili sono ancora centinaia di migliaia. Come raccomandazione generale, i proprietari di siti web dovrebbero evitare di installare troppi plugin e scartare i prodotti che non sono assolutamente necessari. Inoltre, un firewall per applicazioni web potrebbe rivelarsi utile in quanto potrebbe identificare e bloccare i tentativi di sfruttamento.