Más de un millón de sitios de WordPress vulnerables debido a una falla en el plugin W3 Total Cache.
Una vulnerabilidad recién descubierta permite a actores malintencionados acceder a información sensible.
Se ha detectado una vulnerabilidad en el plugin W3 Total Cache de WordPress, lo que permite la exposición de datos y más. Esta falla afecta todas las versiones hasta la 2.8.2, que fue lanzada como solución. Se estima que aún hay cientos de miles de sitios web en WordPress que son vulnerables.
W3 Total Cache, un conocido plugin para la optimización del rendimiento de sitios en WordPress, presenta una vulnerabilidad de alta severidad que habilita a los atacantes a acceder a información sensible, abusar de los límites de los planes de servicio y ejecutar acciones no autorizadas. Esta vulnerabilidad se identifica como CVE-2024-12365, con un puntaje de gravedad de 8.5 sobre 10. La falla se debe a la ausencia de una verificación de capacidades en una de sus funciones y afecta a todas las versiones, incluyendo la 2.8.1.
Los atacantes autenticados, con acceso de nivel Suscriptor o superior, pueden obtener el valor nonce del plugin y llevar a cabo acciones no autorizadas, lo que conlleva a una divulgación de información y un consumo de los límites de servicio, además de hacer solicitudes web a ubicaciones arbitrarias que pueden ser utilizadas para consultar información de servicios internos, incluyendo metadatos de instancias en aplicaciones basadas en la nube, según se detalla en el sitio de la base de datos de vulnerabilidades.
El repositorio de plugins de WordPress indica que W3 Total Cache ha sido descargado más de un millón de veces, pero menos de la mitad (42.8%) utiliza la versión más reciente, lo que sugiere que más de 500,000 sitios web podrían mantenerse vulnerables. El proveedor del plugin, BoldGrid, ha lanzado una solución con la versión 2.8.2, y el proyecto de seguridad de WordPress, Wordfence, ha instado a todos los usuarios a aplicar esta corrección de inmediato.
WordPress es la plataforma de creación de sitios web más popular del mundo, impulsando aproximadamente la mitad de todas las páginas web en internet. Por esta razón, se convierte en un objetivo frecuente para los cibercriminales. Aunque la plataforma en sí es relativamente segura, los atacantes suelen enfocarse en plugins y temas de terceros, especialmente aquellos con escaso soporte por parte de desarrolladores o comunidades.
W3 Total Cache es un plugin potente diseñado para mejorar el rendimiento de los sitios web mediante el almacenamiento en caché de contenido, la minimización de código y la optimización de recursos del servidor. Afirma poder reducir los tiempos de carga, mejorar la experiencia del usuario y optimizar el SEO al integrar funciones como soporte para redes de entrega de contenido (CDN) y almacenamiento en caché de bases de datos.
