CVE-2025-9501
CriticalSummary
Wtyczka W3 Total Cache dla WordPressa w wersjach przed 2.8.13 jest podatna na wstrzykiwanie poleceń przez funkcję _parse_dynamic_mfunc. Umożliwia to nieautoryzowanym użytkownikom wykonywanie poleceń PHP poprzez przesłanie komentarza z złośliwym ładunkiem do posta.
Risk Assessment
Podatność ta może prowadzić do przejęcia kontroli nad serwerem, co stwarza poważne zagrożenie dla bezpieczeństwa danych i integralności systemu. Atakujący mogą wykorzystać tę lukę do uruchamiania dowolnych poleceń PHP.
Recommendation
Zaleca się aktualizację wtyczki W3 Total Cache do wersji 2.8.13 lub nowszej, aby usunąć tę podatność. Dodatkowo warto monitorować i ograniczać możliwość dodawania komentarzy przez nieautoryzowanych użytkowników.
Original NVD description (English source)
The W3 Total Cache WordPress plugin before 2.8.13 is vulnerable to command injection via the _parse_dynamic_mfunc function, allowing unauthenticated users to execute PHP commands by submitting a comment with a malicious payload to a post.

