Vulnerabilitate RCE W3 Total Cache WordPress – CVE-2025-9501 critic

dec. 4, 2025 | Spațiul Virtual

CVE-2025-9501 reprezintă o vulnerabilitate critică, cu scor CVSS (v3.1) de 9.0, de tip Injecție de Comenzi / Execuție la Distanță a Codului (Command Injection / RCE) în plugin-ul W3 Total Cache pentru WordPress. În anumite condiții, un atacator neautentificat poate rula cod PHP pe site-uri afectate.

Peste 1 milion de instalări active sunt în pericol, iar apariția recentă a unui Proof of Concept (PoC) crește riscul unei exploatări masive.

Detalii tehnice

Problema apare din modul în care W3 Total Cache gestionează tag-urile dinamice mfunc, aplicând funcția eval() pe conținutul extras din comentarii atunci când Page Cache este activ. Dacă un atacator poate introduce tag-uri mfunc și cunoaște valoarea W3TC_DYNAMIC_SECURITY, plugin-ul va executa cod PHP nevalidat pe server.

Condiții necesare pentru exploatare

Pentru a exploata vulnerabilitatea, trebuie îndeplinite următoarele cerințe:

  • Opțiunea Page Cache să fie activată;

  • Comentariile publice anonime să fie permise;

  • Atacatorul să cunoască valoarea W3TC_DYNAMIC_SECURITY.

Versiuni afectate

Toate versiunile W3 Total Cache până la 2.8.13 (exclusiv) sunt vulnerabile.

Recomandări de securitate

  • Actualizați plugin-ul la versiunea 2.8.13 sau mai recentă;

  • Dacă nu se poate face update imediat:

Concluzii

CVE-2025-9501 este o problemă critică, cu impact major datorită posibilității de execuție de cod la distanță și popularității plugin-ului W3 Total Cache. Publicarea PoC-ului subliniază importanța unei reacții rapide. Actualizarea la versiunea 2.8.13+ rămâne soluția principală. Până atunci, dezactivarea Page Cache și restricționarea comentariilor anonime sunt măsuri temporare eficiente pentru reducerea riscului.

👀 Merită să arunci o privire:Top Jocuri Online fără reclame - Joacă-te Gratis

Sursa: dnsc.ro