Zraniteľnosť modulu WordPress W3 Total Cache umožňuje vzdialené vykonanie príkazov PHP

Vývojári modulu WordPress W3 Total Cache vydali bezpečnostné aktualizácie, ktoré opravujú kritickú zraniteľnosť. CVE-2025-9501 možno zneužiť na vzdialené vykonanie PHP príkazov a získanie úplnej kontroly nad systémom.

Zraniteľné systémy:

• WordPress plugin W3 Total Cache vo verziách starších ako 2.8.13

Opis zraniteľnosti:

CVE-2025-9501  (CVSSv3 skóre 9,0)

Kritická zraniteľnosť spočíva v nedostatočnom overovaní používateľských vstupov v rámci funkcie _parse_dynamic_mfunc(). Vzdialený neautentifikovaný útočník by ju zaslaním špeciálne vytvoreného komentára mohol zneužiť na vzdialené vykonanie PHP príkazov a získanie úplnej kontroly nad systémom.

Pozn.: Výrobca vydal aktualizácie 27. októbra 2025. Kód demonštrujúci mechanizmus zneužitia zraniteľnosti bude zverejnený 24. novembra 2025.

Možné škody:

• Vzdialené vykonanie príkazov
• Získanie úplnej kontroly nad systémom

Odporúčania:

Administrátorom odporúčame vykonať bezodkladnú aktualizáciu modulu W3 Total Cache na verziu 2.8.13. Rovnako odporúčame preveriť integritu databázy a súborov redakčného systému WordPress a logy CMS, sieťových a bezpečnostných prvkov na podozrivých komentárov a prítomnosť pokusov o zneužitie zraniteľnosti.

Zdroje:

• https://wpscan.com/vulnerability/6697a2c9-63ae-42f0-8931-f2e5d67d45ae/
• https://nvd.nist.gov/vuln/detail/CVE-2025-9501
• https://www.bleepingcomputer.com/news/security/w3-total-cache-wordpress-plugin-vulnerable-to-php-command-injection/