Eine kritische Sicherheitslücke wurde im W3 Total Cache WordPress-Plugin entdeckt, die Datenpreisgabe ermöglicht. Dies betrifft alle Versionen bis einschließlich 2.8.2, die als Reaktion veröffentlicht wurde. Hunderttausende von WordPress-Websites sind weiterhin gefährdet.

Das W3 Total Cache, ein beliebtes WordPress-Plugin zur Website-Performance-Optimierung, wies Berichten zufolge eine Sicherheitslücke hoher Schwere auf, die es Angreifern ermöglichte, auf sensible Informationen zuzugreifen, die Grenzen des Serviceplans zu missbrauchen und nicht autorisierte Aktionen auszuführen. Die Sicherheitslücke ist als CVE-2024-12365 erfasst und hat eine Schweregradbewertung von 8,5/10 (hoch). Sie tritt aufgrund einer fehlenden Berechtigungsprüfung in einer Funktion auf und betrifft alle Versionen bis einschließlich 2.8.1.

„Dies ermöglicht es authentifizierten Angreifern mit Zugriff auf Abonnentenebene und höher, den Nonce-Wert des Plugins zu erhalten und nicht autorisierte Aktionen auszuführen, was zu Datenpreisgabe, Verbrauch von Serviceplanlimits sowie dem Senden von Webanfragen an beliebige Standorte führt, die von der Webanwendung ausgehen und zur Abfrage von Informationen von internen Diensten, einschließlich Instanzmetadaten von Cloud-basierten Anwendungen, verwendet werden können“, hieß es auf der Website der National Vulnerability Database.

Die WordPress-Plugins
Der WordPress-Plugin-Repository gibt an, dass das W3 Total Cache Plugin mehr als eine Million Downloads hat, wobei weniger als die Hälfte (42,8 %) die neueste Version ausführt. Dies bedeutet, dass mehr als 500.000 Websites weiterhin gefährdet sein könnten. Der Anbieter des Plugins, BoldGrid, hat eine Lösung mit der Version 2.8.2 veröffentlicht, und das WordPress-Sicherheitsprojekt Wordfence forderte alle Benutzer auf, die Lösung sofort anzuwenden.

WordPress ist die weltweit beliebteste Plattform zur Erstellung von Websites und betreibt ungefähr die Hälfte aller Websites im Internet. Als solche ist sie auch ein beliebtes Ziel für Cyberkriminelle, wobei diese hauptsächlich auf Drittanbieter-Plugins und -Themes abzielen, insbesondere solche mit schlechter Entwickler- oder Community-Unterstützung.

Das W3 Total Cache ist ein leistungsstarkes WordPress-Plugin, das darauf abzielt, die Leistung der Website durch Zwischenspeichern von Inhalten, Minimieren von Code und Optimieren von Serverressourcen zu verbessern. Es behauptet, die Ladezeiten zu verkürzen, die Benutzererfahrung zu verbessern und die SEO zu optimieren, indem es Funktionen wie die Unterstützung für Content Delivery Network (CDN) und das Caching von Datenbanken integriert.

Via BleepingComputer