Um exploit de prova de conceito (PoC) para o CVE-2025-9501, falha crítica de injeção de comandos não autenticada, foi divulgada publicamente. O W3 Total Cache, um dos plugins de cache mais utilizados no WordPress, está em risco, com potencial de comprometer mais de 1 milhão de sites.
Detalhes da vulnerabilidade
UM falha afeta a função de análise dinâmica do W3 Total Cache (_parse_dynamic_mfunc dentro do PgCache_ContentGrabber), que utiliza eval() para executar código vindo de conteúdo cacheado.
Se o cache de páginas estiver ativado (desabilitado por padrão) e comentários permitidos para usuários não autenticados, um aventureiro conhecendo o valor de W3TC_DYNAMIC_SECURITY no wp-config.php pode inserir código arbitrário via comentários especiais em páginas cacheadas.
Com esses pré-requisitos, a injeção de código como echo passthru($_GET) resulta na execução remota de comandos no servidor, potencialmente com nível de shell.
Impacto e recomendações
- Possibilidade de invasão total do servidor WordPress.
- Alto risco para administradores que usam valores padrão ou segredos fracos em W3TC_DYNAMIC_SECURITY.
- O PoC confirma a gravidade do problema e pode acelerar os ataques em massa.
Os administradores devem verificar imediatamente as configurações do W3 Total Cache, desativar caches dinâmicos se não utilizados, aplicar patches disponíveis e consultar bloquear comentários de usuários não autenticados.
Evite práticas como o uso do eval() para execução de código sonoro, especialmente em contexto de segurança.
Inclui essa vulnerabilidade em testes e auditorias para identificar instâncias expostas em ambientes corporativos.
