IT之家 12 月 25 日消息,科技媒体 cyberkendra 昨日(12 月 24 日)发布博文,报道称 WordPress 缓存插件 W3 Total Cache 陷入安全泥潭,该插件拥有超过 100 万的安装量,但其针对 CVE-2025-9501 漏洞连续发布的三个补丁均宣告失败。
IT之家注:W3 Total Cache 是个主流 WordPress 缓存插件,全球站点装机量超过 100 万,近期爆发严重安全危机(CVE-2025-9501),根源在于插件处理动态内容的机制。
研究人员“wcraft”最初向 WPScan 披露该漏洞时,它影响 2.8.13 之前的所有版本,CVSS 评分为 9.0,被评为“严重”级别。
W3 Total Cache 的 _parse_dynamic_mfunc 函数使用 PHP 的 eval () 函数来执行缓存页面评论中嵌入的代码。虽然该设计旨在提升动态页面的加载效率,但也为黑客留下了后门,只要攻击者能在评论中注入特定代码,插件就会将其视为合法指令并直接执行。
厂商的修复过程被研究人员形容为“安全马戏团”:
-
2.8.13 版本试图用 str_replace 移除恶意标签,但逻辑简单粗暴:攻击者只需将安全令牌嵌套(如构造 “rcercesecsec”),当程序剔除中间的 “rcesec” 后,剩余字符会自动重组为有效令牌,令防御失效。
-
2.8.14 版本增加了更多检查,但漏洞依然存在。
-
随后的 2.8.15 版本试图通过检测标签后的空格(正则 /s+)来拦截攻击,却忽视了原代码允许“零空格”(正则 /s*)的特性。攻击者只需删除标签与令牌间的空格,即可再次轻松穿透防线。
尽管漏洞利用极其简单,但攻击者仍需满足三个特定条件:
-
首先,必须获取管理员配置的 W3TC_DYNAMIC_SECURITY 安全令牌(通常为一串秘密字符串);
-
其次,网站必须允许未登录用户发布评论;
-
最后,页面缓存功能必须处于开启状态。
虽然这些条件限制了攻击面,但在庞大的用户基数下,符合条件的受害者数量依然庞大。
鉴于补丁屡修屡破的现状,单纯依赖更新已不足以确保安全。安全专家建议,管理员在升级至最新版本的同时,必须立即审计 W3TC_DYNAMIC_SECURITY 常量的唯一性,确保其未被泄露。
此外,该安全公司建议暂时限制未验证用户的评论权限,并重点审查 2025 年 10 月以来的评论日志,排查是否存在异常代码注入痕迹。
广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,IT之家所有文章均包含本声明。
