CVE-2025-9501 reprezintă o vulnerabilitate critică, cu scor CVSS (v3.1) de 9.0, de tip Injecție de Comenzi / Execuție la Distanță a Codului (Command Injection / RCE) în plugin-ul W3 Total Cache pentru WordPress. În anumite condiții, un atacator neautentificat poate rula cod PHP pe site-uri afectate.
Peste 1 milion de instalări active sunt în pericol, iar apariția recentă a unui Proof of Concept (PoC) crește riscul unei exploatări masive.
Detalii tehnice
Problema apare din modul în care W3 Total Cache gestionează tag-urile dinamice mfunc, aplicând funcția eval() pe conținutul extras din comentarii atunci când Page Cache este activ. Dacă un atacator poate introduce tag-uri mfunc și cunoaște valoarea W3TC_DYNAMIC_SECURITY, plugin-ul va executa cod PHP nevalidat pe server.
Condiții necesare pentru exploatare
Pentru a exploata vulnerabilitatea, trebuie îndeplinite următoarele cerințe:
-
Opțiunea Page Cache să fie activată;
-
Comentariile publice anonime să fie permise;
-
Atacatorul să cunoască valoarea W3TC_DYNAMIC_SECURITY.
Versiuni afectate
Toate versiunile W3 Total Cache până la 2.8.13 (exclusiv) sunt vulnerabile.
Recomandări de securitate
-
Actualizați plugin-ul la versiunea 2.8.13 sau mai recentă;
-
Dacă nu se poate face update imediat:
-
Dezactivați Page Cache;
🔍 Tot pe aceeași temă:Atenție! Tentative de furt a parolei contului de email, cpanel sau wp-admin -
Dezactivați comentariile anonime;
-
Verificați și configurați W3TC_DYNAMIC_SECURITY;
-
Aplicați reguli WAF pentru a bloca inserarea tag-urilor
mfuncsau a codului PHP în comentarii.
-
Concluzii
CVE-2025-9501 este o problemă critică, cu impact major datorită posibilității de execuție de cod la distanță și popularității plugin-ului W3 Total Cache. Publicarea PoC-ului subliniază importanța unei reacții rapide. Actualizarea la versiunea 2.8.13+ rămâne soluția principală. Până atunci, dezactivarea Page Cache și restricționarea comentariilor anonime sunt măsuri temporare eficiente pentru reducerea riscului.
Sursa: dnsc.ro











