WordPress 头部插件曝 9/10 分高危漏洞，官方连发三补丁全失效

东苑

科技媒体 cyberkendra 昨日（12 月 24 日）发布博文，报道称 WordPress 缓存插件 W3 Total Cache 陷入安全泥潭，该插件拥有超过 100 万的安装量，但其针对 CVE-2025-9501 漏洞连续发布的三个补丁均宣告失败。

IT之家注：W3 Total Cache 是个主流 WordPress 缓存插件，全球站点装机量超过 100 万，近期爆发严重安全危机（CVE-2025-9501），根源在于插件处理动态内容的机制。

研究人员“wcraft”最初向 WPScan 披露该漏洞时，它影响 2.8.13 之前的所有版本，CVSS 评分为 9.0，被评为“严重”级别。

W3 Total Cache 的 _parse_dynamic_mfunc 函数使用 PHP 的 eval () 函数来执行缓存页面评论中嵌入的代码。虽然该设计旨在提升动态页面的加载效率，但也为黑客留下了后门，只要攻击者能在评论中注入特定代码，插件就会将其视为合法指令并直接执行。



厂商的修复过程被研究人员形容为“安全马戏团”：

2.8.13 版本试图用 str_replace 移除恶意标签，但逻辑简单粗暴：攻击者只需将安全令牌嵌套（如构造 "rcercesecsec"），当程序剔除中间的 "rcesec" 后，剩余字符会自动重组为有效令牌，令防御失效。

2.8.14 版本增加了更多检查，但漏洞依然存在。

随后的 2.8.15 版本试图通过检测标签后的空格（正则 \s+）来拦截攻击，却忽视了原代码允许“零空格”（正则 \s*）的特性。攻击者只需删除标签与令牌间的空格，即可再次轻松穿透防线。

尽管漏洞利用极其简单，但攻击者仍需满足三个特定条件：

首先，必须获取管理员配置的 W3TC_DYNAMIC_SECURITY 安全令牌（通常为一串秘密字符串）；

其次，网站必须允许未登录用户发布评论；

最后，页面缓存功能必须处于开启状态。

虽然这些条件限制了攻击面，但在庞大的用户基数下，符合条件的受害者数量依然庞大。

鉴于补丁屡修屡破的现状，单纯依赖更新已不足以确保安全。安全专家建议，管理员在升级至最新版本的同时，必须立即审计 W3TC_DYNAMIC_SECURITY 常量的唯一性，确保其未被泄露。

此外，该安全公司建议暂时限制未验证用户的评论权限，并重点审查 2025 年 10 月以来的评论日志，排查是否存在异常代码注入痕迹。

liqiang2216

看看

yvsi

睇一睇数码资讯

hurric

还好没有用 哈哈

whsnst996

感谢分享

yzszh64

谢谢分享。

wing6

看看新闻