Er is een ernstige kwetsbaarheid in de W3 Total Cache plugin aangetroffen, die op meer dan 1 miljoen WordPress sites geïnstalleerd is. Inmiddels is een security update met patch beschikbaar: W3 Total Cache 2.8.2.
Over W3 Total Cache
W3 Total Cache behoort tot de beste caching plugins voor WordPress. De plugin maakt gebruik maakt verschillende caching-technieken om websites sneller te maken. Dit heeft een positief effect op de gebruikerservaring én de ranking van de pagina’s – een korte laadtijd is immers een van de belangrijke Google ranking factoren.
Kwetsbaarheid in de W3 Total Cache plugin
Wordfence beschrijft de kwetsbaarheid in de W3 Total Cache plugin (CVE-2024-12365) als een “Authenticated Missing Authorization to Server-Side Request Forgery (SSRF)”. In alle voorgaande versies van de plugin ontbreekt een bevoegdheidscontrole. Daardoor kan elke gebruiker die minimaal een abonnee-account heeft, toegang verkrijgen tot de website en ongeautoriseerde acties uitvoeren. Kwaadwillenden zouden bijvoorbeeld ook de infrastructuur van sites kunnen benutten om bezoekers naar malafide websites door te sturen.
W3 Total Cache 2.8.2
BoldGrid, de ontwikkelaar van de plugin, heeft inmiddels een update met patch uitgerold: W3 Total Cache 2.8.2. Op dit moment heeft slechts 43.1% van de gebruikers van de plugin de meest recente versie geïnstalleerd. Dat betekent dat honderdduizenden WordPress websites nog steeds kwetsbaar zijn. Maak jij gebruik van W3 Total Cache? Dan adviseren we je om de plugin onmiddellijk te updaten naar versie 2.8.2.
Lees ook: Veilig WordPress plugins updaten doe je zo!