WordPressで人気のキャッシュ プラグイン「 W3 Total Cache」で重大な脆弱性(CVE-2024-12365)

セキュリティニュース

投稿日時: 更新日時:

WordPressで人気のキャッシュ プラグイン「 W3 Total Cache」で重大な脆弱性(CVE-2024-12365)

WordPressで人気のキャッシュ プラグイン「 W3 Total Cache」で重大な脆弱性(CVE-2024-12365)が発生しています。このプラグインは100万以上のサイトで利用されているので該当者はアップデートする事をお勧めします。

脆弱性の対象バージョン

2.8.1 までのすべてのバージョン

対策

2.8.2以上へバージョンアップ

脆弱性 CVE-2024-12365の概要

is_w3tc_admin_page 関数の機能チェックが欠落しているため、データへの不正アクセスに対して脆弱です。これにより、サブスクライバー レベル以上のアクセス権を持つ認証済みの攻撃者がプラグインの nonce 値を取得して不正なアクションを実行できるようになり、情報漏洩、サービス プランの消費制限、および Web アプリケーションから任意の場所への Web リクエストの送信が可能になり、クラウド ベースのアプリケーションのインスタンス メタデータを含む内部サービスからの情報のクエリに使用できるようになります。