Vulnerabilidade no plugin W3 Total Cache do WordPress permite injeção de comandos PHP
19 de Novembro de 2025

Foi descoberta uma falha crítica no plugin W3 Total Cache (W3TC) para WordPress que permite a execução de comandos PHP no servidor por meio do envio de um comentário contendo um payload malicioso.

Identificada como CVE-2025-9501 , a vulnerabilidade afeta todas as versões do W3TC anteriores à 2.8.13 e é classificada como uma injeção de comando que não requer autenticação.

O W3TC está instalado em mais de um milhão de sites para melhorar o desempenho e reduzir o tempo de carregamento.

O desenvolvedor lançou a versão 2.8.13, que corrige essa falha de segurança, em 20 de outubro.

No entanto, com base em dados do WordPress.org, centenas de milhares de sites ainda podem estar vulneráveis, já que cerca de 430 mil downloads foram realizados desde a disponibilidade do patch.

A empresa de segurança WordPress WPScan detalha que um atacante pode explorar a falha CVE-2025-9501 injetando comandos por meio da função _parse_dynamic_mfunc(), responsável por processar chamadas dinâmicas de funções no conteúdo em cache.

Se o código PHP for executado com sucesso, o invasor pode obter controle total sobre o site WordPress comprometido, executando qualquer comando no servidor sem necessidade de autenticação.

Pesquisadores da WPScan desenvolveram um exploit proof-of-concept (PoC) para a CVE-2025-9501 e planejam tornar esse código público a partir de 24 de novembro, dando tempo para que os usuários atualizem seus sistemas.

Historicamente, explorações maliciosas começam quase imediatamente após a divulgação de um PoC, quando invasores buscam alvos para ataques.

Administradores que não puderem atualizar até essa data devem considerar desativar o plugin W3 Total Cache ou adotar medidas para impedir que comentários sejam usados como vetor para a entrega de payloads maliciosos que explorem a falha.

A recomendação é atualizar o plugin para a versão 2.8.13, lançada em 20 de outubro, garantindo proteção contra esse risco crítico.

Publicidade

Traçamos um caminho para você ir do zero ao avançado em hacking

Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...