W3 Total Cache缓存插件被曝存在XSS高危漏洞,附修补办法

分享本文:
W3 Total Cache插件截图

最近,WP Media网站发现著名的缓存插件W3 Total Cache存在高危XSS漏洞,影响当前超过100万个WordPress网站。W3 Total Cache插件开发者尚未修复此漏洞;热心网友给出解决方案,可以修复此漏洞。

W3TC XSS高危漏洞描述

W3 Total Cache插件是非常著名的WordPress缓存插件,可以优化WordPress网站性能,提升网站访问速度。我们曾经在最受欢迎的25个WordPress插件中介绍过它,它高居排行榜第5位。

该漏洞是在W3 Total Cache插件的支持表单(support form)中发现的。根据WP Media的描述

This page can be reach directly using a URL with params, then the params will fill the form.

The params are not escaped when printed on the page, leading to an XSS vulnerability.

Example of XSS URL to be avoided: https://example.com/wp-admin/admin.php?page=w3tc_support&request_type=bug_report&request_id=PAYLOAD

Then replace PAYLOAD with a malicious code.

(大意如下:

该页面可以通过带有参数的网址来访问,其中的参数通过表格来填写。

用户填写的参数出现在页面上时,未进行转义,因而导致一个XSS漏洞。

应该避免使用这种包含XSS漏洞的网址: https://example.com/wp-admin/admin.php?page=w3tc_support&request_type=bug_report&request_id=PAYLOAD

然后使用恶意代码来代替PAYLOAD。)

根据Zerial的描述,要利用这些漏洞,需要有WP管理员的身份,或者获取当前活动用户的适当权限。

W3TC作者尚未修复该漏洞

W3 Total Cache插件6个月前进行了一次小版本的升级,0.9.4.1。再往前的主版本升级,是2014年发布的0.9.4版本。今年3月,有人采访了W3 Total Cache插件的作者,Frederick Townes,询问他是否已经放弃了W3 Total Cache插件的开发;当时他的答复是没有放弃。作者称,其团队正在进行下一个版本的开发,朝着1.0版本的方向努力。

然而,该漏洞爆发后,W3 Total Cache插件开发者及其团队并没有进行任何的答复及修补工作。

对于使用了W3 Total Cache插件的用户,目前唯一的对应办法似乎只有关闭该插件了。

幸运的是,WordPress社区的力量十分强大,我们目前有了两个应对的解决方案。

WordPress社区给出两个修复方案

方案1:删除存在漏洞的文件。

使用ftp或者登录主机管理系统,删除或者重命名以下文件:

wp-content/plugins/w3-total-cache/inc/options/support/form.php

这是一个网友提出的解决方案,有些简单粗暴,支持表单功能也就没有了。

方案2:Fix W3TC方案。

有热心网友给出了修复方案,一个新的项目,Fix W3TC,目前托管在GitHub上,点击这里查看直接下载

特别注意:以下是安装使用方法。

  1. 登录你的WP管理后台,禁用W3 Total Cache插件。千万不要点击“删除”按钮!
  2. 使用FTP或者web方式,删除掉W3TC插件的对应文件夹,wp-content/plugins/w3-total-cache 。
  3. 上传并解压缩刚刚下载的文件。
  4. 对解压缩得到的文件夹,其名字为 fix-w3tc-master,修改为 w3-total-cache 。
  5. 在WP管理后台,激活该插件。

这是目前值得推荐的修复W3 Total Cache插件漏洞的办法。

该修复方案的作者,Viktor Szépe,希望接手W3TC插件的开发。但W3TC插件用户众多,目前有超过100万个网站正在使用该插件。因此,WordPress插件目录团队表示,希望该修复方案的开发者以W3TC分支的形式,单独发布新插件;W3TC插件需要有足够实力的团队来接手。

由于Viktor Szépe的英语水平较差,暂时尚未在WordPress.org上单独发布此插件。不过,在众多WordPress用户的热情帮助下,我们相信,很快就能看到该插件的独立发布。

分享本文:


发表一下评论

邮箱地址不会被公开。 必填项已用*标注