CVE-2024-12365: Popular WordPress Caching Plugin Exposes Millions of Sites to Attack
2025/01/15 SecurityOnline — 人気の W3 Total Cache プラグインで発見された深刻度の高い脆弱性により、100 万を超える WordPress Web サイトが危険にさらされている。W3 Total Cache は、Web サイトのパフォーマンスを向上させ、検索エンジンを最適化するためのプラグインである。このプラグインに存在する、脆弱性 CVE-2024-12365 (CVSS:8.5)を悪用する攻撃者は、機密データへの不正にアクセスを達成し、内部システムへ向けた攻撃を仕掛ける可能性を手にする。
この認証チェックの欠落に起因する脆弱性は、最小限の権限 (サブスクライバー レベル以上) を持つ認証済みユーザーであれば悪用が可能であり、本来では許可されたいないアクションの実行へといたる恐れがある。
潜在的な影響は?
情報漏洩:WordPress サイト内に保存されている機密データへのアクセスを、攻撃者に許すことになる。
リソース枯渇:Web サイトのサービス・プラン制限を消費する攻撃者により、サービス中断やコスト増が引き起こされる可能性がある。
サーバーサイド・リクエスト・フォージェリ (SSRF):Web サイトを欺く攻撃者により、内部サービスやクラウド・インフラへのリクエストを送信され、機密情報の公開や、さらなる攻撃の準備が進められる可能性が生じる。
誰が危険にさらされるのは?
W3 Total Cache バージョン 2.8.1 以下を使用している、すべての Web サイトが危険に直面している。このプラグインは人気が高く、アクティブなインストールが 100 万件を超えているため、WordPress エコシステムの多くに影響が生じる。
何をすべきか?
W3 Total Cache を使用している Web サイトの所有者に対して、強く推奨されるのは、は、最新のパッチ・バージョン 2.8.2 へと、ただちに更新することである。この更新により、脆弱性が修正され、関連するリスクが軽減される。
WordPress の W3 Total Cache の脆弱性が FIX しました。すでに、パッチ・バージョンが提供されていますので、ご利用のチームは、アップデートをお急ぎください。なお、このブログでは、LiteSpeed Cache の記事もります。よろしければ、WordPress + Cache で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.