Nouvelle faille critique dans un plugin WordPress ? Tiens, ça faisait presque longtemps.
WordPress se retrouve une fois de plus au cœur de l’actualité cyber. Une vulnérabilité importante a été découverte dans le plugin W3 Total Cache, module très utilisé par les abonnés WP pour améliorer les performances de leurs sites web. Sauf que cette fois-ci, les gains de vitesse et de référencement SEO pourraient coûter cher.
Une faille présente dans toutes les versions de W3 Total Cache
Si vous n’avez jamais entendu parler de W3 Total Cache, il s’agit d’un plugin réputé pour booster les performances des sites WordPress (temps de chargement, donc référencement SEO) grâce à une série de techniques de mise en cache avancées. Installé sur plus d’un million de sites WordPress, il sera désormais aussi connu pour avoir mis les données de ses utilisateurs et utilisatrices en danger.
C’est dans un post de blog que les équipes de recherche de Wordfence ont communiqué sur une faille importante de l’extension. Estampillée CVE-2024-12365, atteignant un score CVSS de 8.5, la vulnérabilité résidait dans la fonction is_w3tc_admin_page et concernait absolument toutes les versions de W3 Total Cache, jusqu’à la 2.8.1 comprise.
Dans le détail, la fonction incriminée souffrait d’une absence de vérification des permissions, permettant à un utilisateur authentifié, même avec un rôle aussi basique que celui d’abonné, d'accéder à des informations critiques et de mener des actions non autorisées.
28 novembre 2024 à 13h12
Pour qui s’y connait un peu, ce type de faille pourrait permettre de mener des attaques SSRF (Server-Side Request Forgery, ou falsification de requête côté serveur). Pour résumer, un attaquant pourrait détourner le serveur vulnérable pour qu’il envoie des requêtes à sa place, et ainsi collecter des informations confidentielles comme des métadonnées de services cloud ou d’autres données internes. Pire, le serveur piraté pourrait être utilisé comme relais pour explorer un réseau privé ou lancer des attaques vers d’autres services.
À cela s’ajoutent d’autres risques : divulgation d’informations critiques, naturellement, saturation des services de cache, ralentissement des performances, coûts supplémentaires pour les propriétaires de sites. En bref, un scénario catastrophe dont tout le monde se passerait bien.
Quelles solutions pour limiter les dégâts ?
D’après Wordfence, W3 Total Cache a déjà publié un correctif, disponible avec la version 2.8.2 du plugin. Malgré tout, les statistiques de téléchargement révèlent que des centaines de milliers de sites n’ont pas encore appliqué la mise à jour, et sont donc toujours vulnérables. Si vous êtes concernés, vous savez ce qu’il vous reste à faire.
Comme souvent avec les plugins WordPress, même les plus populaires peuvent tomber au combat. Jetpack, installé sur des millions de sites, corrigeait en octobre dernier une vulnérabilité vieille de sept ans. Au même moment, LiteSpeed Cache, autre poids lourd du secteur, a dû gérer deux failles critiques en seulement deux mois.
Pour éviter de mauvaises surprises, adoptez quelques réflexes simples. D’abord, mettez systématiquement à jour vos plugins, thèmes et versions de WordPress dès qu’une nouvelle mouture est disponible.
Soyez aussi sélectif dans le choix de vos extensions. Les plugins peu téléchargés et/ou rarement mis à jour ont tôt fait de se transformer en passoires de sécurité.
Enfin, gardez à l’esprit que plus vous installez d’extensions, plus vous multipliez les risques. Faites régulièrement le tri parmi les plugins installés, et prenez le temps de supprimer ceux que vous n’utilisez plus, au même titre que ceux qui ne sont plus mis à jour depuis longtemps.
Source : Wordfence
30 décembre 2024 à 10h25
