من فضلك تسجيل الدخول أو تسجيل لتفعل ذلك.

قد يؤدي وجود خلل خطير في المكون الإضافي W3 Total Cache المثبت على أكثر من مليون موقع WordPress إلى منح المهاجمين إمكانية الوصول إلى معلومات متنوعة، بما في ذلك البيانات الوصفية على التطبيقات المستندة إلى السحابة.

يستخدم المكون الإضافي W3 Total Cache تقنيات تخزين مؤقت متعددة لتحسين سرعة موقع الويب وتقليل أوقات التحميل وتحسين تصنيف SEO بشكل عام.

يتم تتبع الخلل كما”https://www.cve.org/CVERecord?id=CVE-2024-12365″ الهدف=”_blank” rel=”nofollow noopener”>CVE-2024-12365على الرغم من قيام المطور بإصدار إصلاح في أحدث إصدار من المنتج، لا يزال يتعين على مئات الآلاف من مواقع الويب تثبيت الإصدار المصحح.

تفاصيل الضعف

وردفينس”https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/w3-total-cache/w3-total-cache-281-authenticated-subscriber-missing-authorization-to-server-side-request-forgery” الهدف=”_blank” rel=”nofollow noopener”> ملاحظات أن المشكلة الأمنية ترجع إلى فقدان التحقق من القدرة في وظيفة “is_w3tc_admin_page” في جميع الإصدارات حتى الإصدار الأحدث، 2.8.2. يسمح هذا الخطأ بالوصول إلى قيمة الأمان الخاصة بالمكون الإضافي وتنفيذ إجراءات غير مصرح بها.

من الممكن استغلال الثغرة الأمنية إذا تمت مصادقة المهاجم ولديه مستوى مشترك على الأقل، وهو شرط يمكن تحقيقه بسهولة.

المخاطر الرئيسية التي تنشأ من استغلال CVE-2024-12365 هي:

  • تزوير الطلب من جانب الخادم (SSRF): تقديم طلبات الويب التي من المحتمل أن تكشف عن بيانات حساسة، بما في ذلك بيانات تعريف المثيلات على التطبيقات المستندة إلى السحابة
  • الكشف عن المعلومات
  • إساءة استخدام الخدمة: حدود خدمة استهلاك ذاكرة التخزين المؤقت، مما يؤثر على أداء الموقع ويمكن أن يؤدي إلى زيادة التكاليف

وفيما يتعلق بالتأثير الواقعي لهذا الخلل، يمكن للمهاجمين استخدام البنية التحتية لموقع الويب لتوصيل الطلبات إلى خدمات أخرى واستخدام المعلومات المجمعة لشن المزيد من الهجمات.

أفضل إجراء يمكن اتخاذه للمستخدمين المتأثرين هو الترقية إلى الإصدار الأحدث من إصدار W3 Total Cache، 2.8.2، الذي يعالج الثغرة الأمنية.

تحميل الإحصائيات من”https://wordpress.org/plugins/w3-total-cache/advanced/” الهدف=”_blank” rel=”nofollow noopener”> wordpress.org يشير هذا إلى أن ما يقرب من 150 ألف موقع ويب قام بتثبيت المكون الإضافي بعد أن أصدر المطور آخر تحديث، مما يترك مئات الآلاف من مواقع WordPress عرضة للخطر.

كتوصيات عامة، يجب على مالكي مواقع الويب تجنب تثبيت عدد كبير جدًا من المكونات الإضافية والتخلص من المنتجات التي ليست ضرورية تمامًا.

بالإضافة إلى ذلك، يمكن أن يكون جدار الحماية لتطبيق الويب مفيدًا لأنه يمكنه تحديد محاولات الاستغلال ومنعها.

اقرأ المزيد

2 0 يناير 17, 2025
مقبرة جوجل: 7 منتجات أوقفتها الشركة في عام 2024
لقد طاردوا مروجي العملة المشفرة Hawk Tuah. الآن إنهم يقاضون Pump.Fun

Reactions

0
0
0
0
0
0
بالفعل كان رد فعل لهذا المنصب.

ردود الفعل