文章总结： WordPress插件W3TotalCache曝出CVE-2025-9501严重漏洞，CVSS评分9.0。因使用eval函数处理评论代码导致远程代码执行风险。官方连续发布的三个补丁均被绕过，修复逻辑存在缺陷。攻击需获取安全令牌且开启缓存。建议用户立即升级并审查令牌安全性，同时限制未登录用户评论权限。 综合评分： 90 文章分类： WEB安全,漏洞预警,漏洞分析,代码审计

【安全圈】WordPress 头部插件曝 9/10 分高危漏洞，官方连发三补丁全失效

安全圈

2025年12月25日 19:00 江苏

关键词

漏洞

科技媒体 cyberkendra 昨日（12 月 24 日）发布博文，报道称 WordPress 缓存插件 W3 Total Cache 陷入安全泥潭，该插件拥有超过 100 万的安装量，但其针对 CVE-2025-9501 漏洞连续发布的三个补丁均宣告失败。

注：W3 Total Cache 是个主流 WordPress 缓存插件，全球站点装机量超过 100 万，近期爆发严重安全危机（CVE-2025-9501），根源在于插件处理动态内容的机制。

研究人员 “wcraft” 最初向 WPScan 披露该漏洞时，它影响 2.8.13 之前的所有版本，CVSS 评分为 9.0，被评为 ” 严重 ” 级别。

W3 Total Cache 的 _parse_dynamic_mfunc 函数使用 PHP 的 eval ( ) 函数来执行缓存页面评论中嵌入的代码。虽然该设计旨在提升动态页面的加载效率，但也为黑客留下了后门，只要攻击者能在评论中注入特定代码，插件就会将其视为合法指令并直接执行。

厂商的修复过程被研究人员形容为 ” 安全马戏团 “：

2.8.13 版本试图用 str_replace 移除恶意标签，但逻辑简单粗暴：攻击者只需将安全令牌嵌套（如构造 “rcercesecsec”），当程序剔除中间的 “rcesec” 后，剩余字符会自动重组为有效令牌，令防御失效。

2.8.14 版本增加了更多检查，但漏洞依然存在。

随后的 2.8.15 版本试图通过检测标签后的空格（正则 s+）来拦截攻击，却忽视了原代码允许 ” 零空格 “（正则 s*）的特性。攻击者只需删除标签与令牌间的空格，即可再次轻松穿透防线。

尽管漏洞利用极其简单，但攻击者仍需满足三个特定条件：

首先，必须获取管理员配置的 W3TC_DYNAMIC_SECURITY 安全令牌（通常为一串秘密字符串）；

其次，网站必须允许未登录用户发布评论；

最后，页面缓存功能必须处于开启状态。

虽然这些条件限制了攻击面，但在庞大的用户基数下，符合条件的受害者数量依然庞大。

鉴于补丁屡修屡破的现状，单纯依赖更新已不足以确保安全。安全专家建议，管理员在升级至最新版本的同时，必须立即审计 W3TC_DYNAMIC_SECURITY 常量的唯一性，确保其未被泄露。

此外，该安全公司建议暂时限制未验证用户的评论权限，并重点审查 2025 年 10 月以来的评论日志，排查是否存在异常代码注入痕迹。

END

阅读推荐

【安全圈】NVIDIA高危漏洞（CVE-2025-33222/33223/33224）可致AI系统完全沦陷

【安全圈】n8n 高危漏洞致数千实例面临任意代码执行风险

【安全圈】索尼PSN账号系统曝致命漏洞，双重验证形同虚设

【安全圈】“黄播”涌入快手，平台网络安全体系缘何失控？

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】WordPress 头部插件曝 9/10 分高危漏洞，官方连发三补丁全失效》