18 janvier 2025

Krusell France

Ta dose d'actu digital !

Faille de sécurité critique dans W3 Total Cache pour WordPress : les détails à connaître

17 heures ago Julien Castex
WordPress - W3 Total Cache - CVE-2024-12365
Rate this post

Faille de sécurité critique dans l’extension W3 Total Cache pour WordPress

Sommaire masquer
1 Faille de sécurité critique dans l’extension W3 Total Cache pour WordPress
2 La vulnérabilité de l’extension W3 Total Cache
3 Risques et conséquences de la faille de sécurité
4 Qui est concerné et comment se protéger ?
5 Actualités similaires :

Une faille de sécurité sévère touche l’extension W3 Total Cache pour WordPress et pourrait permettre à un attaquant d’accéder à diverses informations. Voici ce qu’il faut savoir.

La vulnérabilité de l’extension W3 Total Cache

L’extension W3 Total Cache est utilisée par plus d’un million de sites WordPress, dans le but d’améliorer les performances des sites grâce à la mise en cache. Elle a une très bonne réputation, et c’est une référence pour WordPress, au même titre que WP Rocket, une extension concurrente.

La nouvelle vulnérabilité, associée à la référence CVE-2024-12365 et à un score CVSS de 8.5 sur 10, est due à une vérification de capacité manquante dans la fonction “is_w3tc_admin_page” du plugin, exposant ainsi les propriétaires de sites WordPress à des risques potentiels.

Risques et conséquences de la faille de sécurité

Les risques associés à cette faille de sécurité incluent une attaque Server-Side Request Forgery (SSRF), la divulgation d’informations sensibles et l’abus de l’utilisation du service de cache, impactant ainsi les performances du site et pouvant entraîner des coûts supplémentaires.

Un attaquant peut exploiter cette vulnérabilité s’il est connecté à WordPress, au minimum en tant qu’abonné, ce qui est souvent le cas sur de nombreux sites.

“Cela permet à des attaquants authentifiés, disposant d’un accès de niveau Abonné ou supérieur, d’obtenir la valeur nonce du plugin et d’effectuer des actions non autorisées.”, peut-on lire sur le site de Wordfence.

Qui est concerné et comment se protéger ?

La version 2.8.1 et toutes les versions antérieures de W3 Total Cache sont vulnérables à la CVE-2024-12365. Pour se protéger, il est impératif d’utiliser la version 2.8.2 de l’extension, ou une version ultérieure. Cette mise à jour de sécurité a été publiée le 17 décembre 2024 par les développeurs.

Des centaines de milliers d’instances WordPress sont actuellement vulnérables à cette faille de sécurité, avec seulement 42.8% des installations de ce plugin utilisant la version 2.8.X. Il est crucial de mettre à jour l’extension pour se prémunir contre les attaques potentielles.

Enfin, il est important de noter qu’à ce jour, aucune exploitation de cette vulnérabilité par des attaquants n’a été signalée.

Source : www.it-connect.fr

  • julien castex redacteur tech

    Julien est un journaliste tech polyvalent avec une expérience couvrant divers aspects de la high tech, en passant par les smartphones et l'Intelligence Artificielle. Il écrit sur les dernières tendances technologiques, les startups et les projets innovants ainsi que les impacts de la technologie sur la société.

    Voir toutes les publications

Actualités similaires :

  1. Faille de sécurité critique dans LiteSpeed Cache : millions de sites WordPress exposés
  2. Faille critique de sécurité affectant les YubiKey : les détails à connaître
  3. Découvrez l’exploit PoC pour une faille de sécurité critique dans Veeam Backup Enterprise Manager
  4. Mise à jour nécessaire pour protéger votre ordinateur Intel contre une faille critique de sécurité dans le firmware UEFI.
  5. Alerte sécurité : Faille critique dans le pilote Wi-Fi de Windows !
  6. Faille de sécurité critique corrigée dans OpenSSH : comment se protéger ?
Tags:

Plus d'actu

tuto linux déconnecter utilisateurs inactifs avec autolog

Comment gérer les connexions inactives sur Linux avec Autolog

13 heures ago Julien Castex
Microsoft 365 Personnel et Famille - IA Copilot et augmentation des prix

Microsoft augmente les tarifs de Microsoft 365 avec l’intégration d’IA Copilot : ce que vous devez savoir

19 heures ago Julien Castex
tuto Windows 11 24H2 SYSPREP

Tutoriel : Comment effectuer un SYSPREP sur Windows 11 ?

22 heures ago Julien Castex

Vous avez peut-être manqué

Nouveau Microsoft 365 avec Copilot : Prix et fonctionnalités améliorés

31 minutes ago Romain Barry
Apple's AI news summaries are proving just as bad as Google's first foray with Overviews

Apple ajuste ses résumés de news guidés par l’IA après des problèmes de précision

48 minutes ago Mia Dufresne
Samsung Galaxy S25 series to be more expensive than the S24 family in India

Samsung dévoile les prix indiens du Galaxy S25: quel impact sur votre porte-monnaie?

4 heures ago Romain Barry
Realme GT 7 possibly certified with very similar specs to the GT 7 Pro

Le prochain Realme GT 7 certifié: 120W et 5G confirmés

8 heures ago Romain Barry