CVE-2025-9501
KrytyczneStreszczenie
Wtyczka W3 Total Cache dla WordPressa w wersjach przed 2.8.13 jest podatna na wstrzykiwanie poleceń przez funkcję _parse_dynamic_mfunc. Umożliwia to nieautoryzowanym użytkownikom wykonywanie poleceń PHP poprzez przesłanie komentarza z złośliwym ładunkiem do posta.
Ocena ryzyka
Podatność ta może prowadzić do przejęcia kontroli nad serwerem, co stwarza poważne zagrożenie dla bezpieczeństwa danych i integralności systemu. Atakujący mogą wykorzystać tę lukę do uruchamiania dowolnych poleceń PHP.
Rekomendacja
Zaleca się aktualizację wtyczki W3 Total Cache do wersji 2.8.13 lub nowszej, aby usunąć tę podatność. Dodatkowo warto monitorować i ograniczać możliwość dodawania komentarzy przez nieautoryzowanych użytkowników.
Oryginalny opis (angielski, źródło NVD)
The W3 Total Cache WordPress plugin before 2.8.13 is vulnerable to command injection via the _parse_dynamic_mfunc function, allowing unauthenticated users to execute PHP commands by submitting a comment with a malicious payload to a post.

