Pluginul WordPress W3 Total Cache vulnerabil la injectarea de comenzi PHP

O vulnerabilitate critică în pluginul WordPress W3 Total Cache (W3TC) poate fi exploatată pentru a rula comenzi PHP pe server prin postarea unui comentariu care conține un payload rău intenționat.

Vulnerabilitatea, identificată ca CVE-2025-9501, afectează toate versiunile pluginului W3TC anterioare versiunii 2.8.13 și este descrisă ca o eroare de injectare de comenzi neautentifcate.

W3TC este instalat pe mai mult de un milion de site-uri web pentru a crește performanța și a reduce timpul de încărcare.

Dezvoltatorul a lansat versiunea 2.8.13, care remediază problema de securitate, pe 20 octombrie. Cu toate acestea, pe baza datelor de la WordPress.org, sute de mii de site-uri web ar putea fi încă vulnerabile, deoarece au existat aproximativ 430.000 de descărcări de când patch-ul a devenit disponibil.

Compania de securitate WordPress WPScan afirmă că un atacator poate declanșa CVE-2025-9501 și poate injecta comenzi prin funcția _parse_dynamic_mfunc() responsabilă de procesarea apelurilor de funcții dinamice încorporate în conținutul stocat în cache.

Un atacator care exploatează cu succes această executare de cod PHP poate prelua controlul deplin asupra site-ului WordPress vulnerabil, deoarece poate rula orice comandă pe server fără a fi necesară autentificarea.

Administratorii de site-uri web care nu pot efectua actualizarea până la termenul limită ar trebui să ia în considerare dezactivarea pluginului W3 Total Cache sau să ia măsurile necesare pentru a se asigura faptul că respectivele comentarii nu pot fi utilizate pentru a lansa payload-uri rău intenționate ce ar putea declanța exploitul.

Măsura recomandată este actualizarea la versiunea 2.8.13 a W3 Total Cache, lansată pe 20 octombrie.

Sursă: https://www.bleepingcomputer.com/news/security/w3-total-cache-wordpress-plugin-vulnerable-to-php-command-injection/