O vulnerabilitate extrem de gravă, identificată ca CVE-2025-9501, afectează pluginul W3 Total Cache, unul dintre cele mai populare module de optimizare pentru WordPress. Problema de securitate are un scor CVSS 9.0 (critic) și poate permite unui atacator neautentificat să execute cod PHP la distanță pe site-urile vulnerabile.
Potrivit specialiștilor DNSC, peste 1 milion de instalări active sunt expuse, iar apariția recentă a unui Proof of Concept (PoC) crește semnificativ riscul unor atacuri în masă.
Ce presupune vulnerabilitatea CVE-2025-9501?
Breșa este legată de modul în care pluginul procesează tag-urile dinamice mfunc atunci când funcția Page Cache este activă. Pluginul folosește funcția periculoasă eval() pentru a interpreta conținut extras din comentarii, ceea ce permite inserarea și rularea de cod PHP malițios.
Cu alte cuvinte, dacă un atacator reușește să insereze un tag mfunc într-un comentariu și cunoaște cheia W3TC_DYNAMIC_SECURITY, poate executa cod direct pe server.
Condițiile care permit exploatarea
Vulnerabilitatea poate fi exploatată doar dacă sunt îndeplinite simultan următoarele:
- Page Cache este activ în setările pluginului.
- Comentariile publice anonime sunt permise pe site.
- Atacatorul cunoaște valoarea W3TC_DYNAMIC_SECURITY.
Dacă toate aceste condiții sunt valabile, site-ul devine vulnerabil la atacuri de tip Command Injection / Remote Code Execution.
Versiuni afectate
Toate versiunile W3 Total Cache până la 2.8.13 (exclusiv).
Utilizatorii acestor versiuni sunt considerați în risc major.
Recomandări urgente
1. Actualizați imediat pluginul la versiunea 2.8.13 sau mai nouă.
Aceasta este singura metodă completă de remediere.
2. Măsuri temporare dacă update-ul nu este posibil:
- Dezactivați Page Cache în W3 Total Cache
- Blocați comentariile anonime
- Verificați și configurați corect cheia W3TC_DYNAMIC_SECURITY
- Implementați reguli în WAF (Web Application Firewall) pentru a filtra tag-uri de tip “mfunc” sau cod PHP injectat în comentarii
CVE-2025-9501 este una dintre cele mai serioase vulnerabilități WordPress din ultimii ani, din cauza impactului major (execuție de cod la distanță), a popularității pluginului și a existenței unui PoC public.
Actualizarea imediată la W3 Total Cache 2.8.13+ este esențială.
Până atunci, dezactivarea funcțiilor vulnerabile și restricționarea comentariilor sunt cele mai eficiente soluții temporare.
Pentru detalii suplimentare și resurse tehnice, vizitați site-ul DNSC.
