Kritična ranjivost u W3 Total Cache (W3TC) WordPress dodatku može biti zloupotrijebljena za pokretanje PHP komandi na serveru jednostavnim slanjem komentara koji sadrži maliciozan payload.
Ranjivost, praćena kao CVE-2025-9501, utiče na sve verzije W3TC dodatka prije 2.8.13 i opisuje se kao neautentifikovana command injection.
W3TC je instaliran na više od milion veb-sajtova kako bi se unaprijedile performanse i smanjilo vrijeme učitavanja stranica.
Developer je 20. oktobra objavio verziju 2.8.13, koja otklanja ovaj bezbjednosni problem. Ipak, prema podacima sa WordPress.org, stotine hiljada sajtova i dalje mogu biti ranjive, s obzirom na to da je od objave zakrpe preuzeto oko 430.000 ažuriranja.
WordPress bezbjednosna kompanija WPScan navodi da napadač može iskoristiti CVE-2025-9501 i izvršiti komande kroz funkciju _parse_dynamic_mfunc(), koja obrađuje dinamičke funkcijske pozive ugrađene u keširani sadržaj.
“[W3TC] dodatak je ranjiv na command injection preko funkcije _parse_dynamic_mfunc, što omogućava neautentifikovanim korisnicima da izvrše PHP komande slanjem komentara sa malicioznim payloadom na objavu”, navodi WPScan.
Napadač koji uspješno iskoristi ovu PHP remote code execution ranjivost može preuzeti potpunu kontrolu nad ranjivim WordPress sajtom, jer je moguće pokretanje bilo koje komande na serveru bez autentifikacije.
WPScan istraživači su razvili proof-of-concept (PoC) exploit za CVE-2025-9501 i najavili da će ga objaviti 24. novembra, kako bi administratorima dali dovoljno vremena da instaliraju zakrpu.
Maliciozna eksploatacija obično počne skoro odmah nakon objavljivanja PoC koda. Kada exploit postane dostupan, hakeri aktivno traže potencijalne mete i pokušavaju da ih kompromituju.
Administratori veb-sajtova koji ne mogu da izvrše ažuriranje prije navedenog roka trebalo bi da razmotre deaktiviranje W3 Total Cache dodatka ili da preduzmu mjere kako bi onemogućili da komentari budu iskorišćeni za dostavljanje malicioznih payloadova koji bi mogli da aktiviraju exploit.
Preporučena mjera jeste ažuriranje na W3 Total Cache verziju 2.8.13, objavljenu 20. oktobra.
Izvor: BleepingComputer
