CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-9501

Critical
Published: Translated: NVD NIST

Summary

Wtyczka W3 Total Cache dla WordPressa w wersjach przed 2.8.13 jest podatna na wstrzykiwanie poleceń przez funkcję _parse_dynamic_mfunc. Umożliwia to nieautoryzowanym użytkownikom wykonywanie poleceń PHP poprzez przesłanie komentarza z złośliwym ładunkiem do posta.

Risk Assessment

Podatność ta może prowadzić do przejęcia kontroli nad serwerem, co stwarza poważne zagrożenie dla bezpieczeństwa danych i integralności systemu. Atakujący mogą wykorzystać tę lukę do uruchamiania dowolnych poleceń PHP.

Recommendation

Zaleca się aktualizację wtyczki W3 Total Cache do wersji 2.8.13 lub nowszej, aby usunąć tę podatność. Dodatkowo warto monitorować i ograniczać możliwość dodawania komentarzy przez nieautoryzowanych użytkowników.

Original NVD description (English source)

The W3 Total Cache WordPress plugin before 2.8.13 is vulnerable to command injection via the _parse_dynamic_mfunc function, allowing unauthenticated users to execute PHP commands by submitting a comment with a malicious payload to a post.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS