Katalog CVE

CVE-2025-9501

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wtyczka W3 Total Cache dla WordPressa w wersjach przed 2.8.13 jest podatna na wstrzykiwanie poleceń przez funkcję _parse_dynamic_mfunc. Umożliwia to nieautoryzowanym użytkownikom wykonywanie poleceń PHP poprzez przesłanie komentarza z złośliwym ładunkiem do posta.

Ocena ryzyka

Podatność ta może prowadzić do przejęcia kontroli nad serwerem, co stwarza poważne zagrożenie dla bezpieczeństwa danych i integralności systemu. Atakujący mogą wykorzystać tę lukę do uruchamiania dowolnych poleceń PHP.

Rekomendacja

Zaleca się aktualizację wtyczki W3 Total Cache do wersji 2.8.13 lub nowszej, aby usunąć tę podatność. Dodatkowo warto monitorować i ograniczać możliwość dodawania komentarzy przez nieautoryzowanych użytkowników.

Oryginalny opis (angielski, źródło NVD)

The W3 Total Cache WordPress plugin before 2.8.13 is vulnerable to command injection via the _parse_dynamic_mfunc function, allowing unauthenticated users to execute PHP commands by submitting a comment with a malicious payload to a post.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS