ITCOW牛新网 12月25日消息,知名WordPress缓存插件W3 Total Cache近期陷入严重安全危机。该插件全球安装量超100万,但其针对高危漏洞CVE-2025-9501的修复尝试接连失败,连续三个版本(2.8.13至2.8.15)的补丁均被研究人员证实可被绕过。
漏洞根源在于插件的动态内容处理机制。其_parse_dynamic_mfunc函数通过PHP的eval()执行缓存页面评论中的代码,本意为提升动态页面效率,却成为攻击者注入恶意指令的入口。攻击者只需在评论中嵌入特定代码并满足三项条件:获取管理员设置的W3TC_DYNAMIC_SECURITY安全令牌、网站允许未登录用户评论、且页面缓存功能开启,即可利用漏洞执行任意代码。
据ITCOW牛新网了解,厂商的修复过程被安全专家形容为“安全马戏团”。2.8.13版本试图用str_replace过滤恶意标签,但攻击者通过嵌套令牌(如“rcercesecsec”)即可绕过;2.8.14版本增加检查仍无效;2.8.15版本依赖空格检测(正则\s+),却因原代码允许零空格(\s*)而再度失效。尽管漏洞利用需特定条件,但百万级用户基数下风险仍不可忽视。
安全专家建议用户除升级至最新版本外,需立即审计安全令牌唯一性,限制未验证用户评论权限,并重点排查2025年10月以来的评论日志,防范潜在攻击。目前,W3 Total Cache团队尚未对补丁失效问题作出进一步回应。