Directoratul Național de Securitate Cibernetică (DNSC) avertizează administratorii de site-uri WordPress asupra unei vulnerabilități critice descoperite în plugin-ul „W3 Total Cache”, folosit pe peste un milion de site-uri la nivel global. Defecțiunea, catalogată drept CVE-2025-9501, permite atacatorilor neautentificați să execute cod de la distanță pe serverele vulnerabile, ceea ce poate duce la compromiterea completă a site-ului.
DNSC subliniază că apariția recentă a unui Proof of Concept (PoC) crește riscul exploatării în masă, motiv pentru care actualizarea plugin-ului este considerată urgentă.
"CVE-2025-9501 este o vulnerabilitate critică cu scor CVSS (v3.1) de 9.0, de tip Injecție de Comenzi / Execuție de Cod la Distanță (“Command Injection / Remote Code Execution - RCE”) în plugin-ul W3 Total Cache pentru WordPress. Dacă sunt îndeplinite anumite condiții, un atacator fără autentificare poate executa cod PHP pe site-urile vulnerabile.
Mai mult de 1 milion de instalări active sunt expuse, iar apariția recentă a unui Proof of Concept (PoC) amplifică riscul de exploatare în masă.
Detalii tehnice
Vulnerabilitatea este cauzată de modul în care W3 Total Cache procesează tag-urile dinamice “mfunc”, folosind funcția eval() asupra conținutului extras din comentarii atunci când Page Cache este activ. Dacă un atacator poate introduce astfel de tag-uri într-un comentariu și cunoaște valoarea W3TC_DYNAMIC_SECURITY, plugin-ul execută cod PHP nevalidat pe server.
Condiții necesare pentru exploatare
Pentru a fi posibilă exploatarea vulnerabilității, este necesar ca următoarele condiții sa fie îndeplinite:
Opțiunea “Page Cache” să fie activată;
Comentariile publice anonime să fie permise în secțiunea de postări a site-ului;
Este necesară cunoașterea valorii W3TC_DYNAMIC_SECURITY (constantă folosită de plugin).
Versiuni afectate
Toate versiunile plugin-ului W3 Total Cache până la versiunea 2.8.13 (exclusiv).
Recomandări afectate
- Actualizați W3 Total Cache la versiunea 2.8.13, sau o versiune ulterioară.
- Dacă actualizarea nu este posibilă imediat, puteți folosi următoarele măsuri temporare:Dezactivați opțiunea “Page Cache” în setările W3 Total Cache;
- Dezactivați comentariile publice anonime;
- Verificați și configurați W3TX_DYNAMIC_SECURITY.
- Aplicați reguli WAF pentru a bloca pattern-uri care încearcă să insereze tag-uri “mfunc” sau fragmente de cod PHP în comentarii.
CVE-2025-9501 este o vulnerabilitate critică, cu impact potențial major din cauza riscului de execuție de cod la distanță și popularității plugin-ului W3 Total Cache. Publicarea PoC-ului face ca timpul de reacție să fie esențial, iar actualizarea la versiunea corectată (2.8.13+) rămâne măsura de remediere principală.
Până la aplicarea update-ului, dezactivarea Page Cache și restricționarea comentariilor anonime sunt remedieri temporare eficiente pentru reducerea riscului imediat", transmite DNSC.