DNSC avertizează asupra unei vulnerabilități critice în plugin-ul WordPress W3 Total Cache, care permite preluarea controlului de la distanță asupra site-urilor vulnerabile.

Directoratul Național de Securitate Cibernetică (DNSC) avertizează administratorii de site-uri WordPress asupra unei vulnerabilități critice descoperite în plugin-ul „W3 Total Cache”, folosit pe peste un milion de site-uri la nivel global. Defecțiunea, catalogată drept CVE-2025-9501, permite atacatorilor neautentificați să execute cod de la distanță pe serverele vulnerabile, ceea ce poate duce la compromiterea completă a site-ului.

DNSC subliniază că apariția recentă a unui Proof of Concept (PoC) crește riscul exploatării în masă, motiv pentru care actualizarea plugin-ului este considerată urgentă.

"CVE-2025-9501 este o vulnerabilitate critică cu scor CVSS (v3.1) de 9.0, de tip Injecție de Comenzi / Execuție de Cod la Distanță (“Command Injection / Remote Code Execution - RCE”) în plugin-ul W3 Total Cache pentru WordPress. Dacă sunt îndeplinite anumite condiții, un atacator fără autentificare poate executa cod PHP pe site-urile vulnerabile.

Mai mult de 1 milion de instalări active sunt expuse, iar apariția recentă a unui Proof of Concept (PoC) amplifică riscul de exploatare în masă.

Detalii tehnice

Vulnerabilitatea este cauzată de modul în care W3 Total Cache procesează tag-urile dinamice “mfunc”, folosind funcția eval() asupra conținutului extras din comentarii atunci când Page Cache este activ. Dacă un atacator poate introduce astfel de tag-uri într-un comentariu și cunoaște valoarea W3TC_DYNAMIC_SECURITY, plugin-ul execută cod PHP nevalidat pe server.

Condiții necesare pentru exploatare

Pentru a fi posibilă exploatarea vulnerabilității, este necesar ca următoarele condiții sa fie îndeplinite:

Opțiunea “Page Cache” să fie activată;
Comentariile publice anonime să fie permise în secțiunea de postări a site-ului;
Este necesară cunoașterea valorii W3TC_DYNAMIC_SECURITY (constantă folosită de plugin).

Versiuni afectate

Toate versiunile plugin-ului W3 Total Cache până la versiunea 2.8.13 (exclusiv).

Recomandări afectate

Actualizați W3 Total Cache la versiunea 2.8.13, sau o versiune ulterioară.
Dacă actualizarea nu este posibilă imediat, puteți folosi următoarele măsuri temporare:Dezactivați opțiunea “Page Cache” în setările W3 Total Cache;
Dezactivați comentariile publice anonime;
Verificați și configurați W3TX_DYNAMIC_SECURITY.
Aplicați reguli WAF pentru a bloca pattern-uri care încearcă să insereze tag-uri “mfunc” sau fragmente de cod PHP în comentarii.

CVE-2025-9501 este o vulnerabilitate critică, cu impact potențial major din cauza riscului de execuție de cod la distanță și popularității plugin-ului W3 Total Cache. Publicarea PoC-ului face ca timpul de reacție să fie esențial, iar actualizarea la versiunea corectată (2.8.13+) rămâne măsura de remediere principală.

Până la aplicarea update-ului, dezactivarea Page Cache și restricționarea comentariilor anonime sunt remedieri temporare eficiente pentru reducerea riscului imediat", transmite DNSC.

Google News icon Fiți la curent cu ultimele noutăți. Urmăriți DCNews și pe Google News