Основы Интернет - технологий.

В популярном плагине для WordPress W3 Total Cache обнаружена критическая уязвимость CVE-2025-9501, позволяющая выполнять произвольные PHP-команды на сервере без аутентификации. Для атаки достаточно оставить на уязвимом ресурсе комментарий с полезной нагрузкой. Проблема затрагивает все версии плагина до 2.8.13 и связана с функцией _parse_dynamic_mfunc(), которая обрабатывает динамические вызовы функций в кешированном контенте. По данным аналитиков компании WPScan, злоумышленник может внедрить команды через эту функцию, просто опубликовав на сайте специально подготовленный комментарий. Успешная эксплуатация бага дает атакующему полный контроль над сайтом — он получает возможность выполнять любые команды на сервере. W3 Total Cache — один из самых популярных плагинов для оптимизации производительности WordPress, который установлен более чем на миллионе сайтов. Разработчики плагина выпустили исправленную версию 2.8.13 еще 20 октября 2025 года. Однако по статистике WordPress.org с тех пор плагин загрузили около 430 000 раз, а это означает, что сотни тысяч сайтов все еще уязвимы перед CVE-2025-9501. Исследователи WPScan разработали proof-of-concept эксплоит для свежей проблемы, но планируют опубликовать его только 24 ноября 2025 года, чтобы дать администраторам сайтов больше времени на обновление. Дело в том, что обычно после публикации PoC злоумышленники начинают массово искать уязвимые цели и атаковать их. Администраторам сайтов рекомендуется как можно скорее обновить W3 Total Cache до версии 2.8.13. Если обновление невозможно, следует деактивировать плагин или принять меры, чтобы комментарии нельзя было использовать для доставки полезных нагрузок (например, отключить комментарии на сайте или включить премодерацию).