W3 Total Cache <= 2.9.3 - (User-Agent Header)経由での認証されていないセキュリティトークンの暴露

WordPress 用の W3 Total Cache プラグインは、2.9.3 までのすべてのバージョンで情報漏洩の脆弱性があります。これは、リクエストの (User-Agent Header) に "W3 Total Cache" が含まれている場合、プラグインが出力バッファリングと処理パイプライン全体をバイパスするためです。これにより、生の mfunc/mclude 動的フラグメント HTML コメント (W3TC_DYNAMIC_SECURITY セキュリティトークンを含む) がページソースにレンダリングされます。これにより、認証されていない攻撃者が、開発者が配置した動的フラグメントタグを含む任意のページに、細工された (User-Agent Header) を送信することで、W3TC_DYNAMIC_SECURITY 定数の値を検出することが可能になります。ただし、サイトでフラグメントキャッシュ機能が有効になっていることが条件です。