科技媒体 cyberkendra 在12月24日发布最新安全通报,老牌WordPress缓存插件W3 Total Cache正深陷严重的安全漏洞危机,这款装机量超100万的主流插件,针对高危漏洞CVE-2025-9501接连推送的三个修复版本补丁,均被证实修复失效,漏洞问题至今未能解决。
作为WordPress生态里的头部缓存插件,W3 Total Cache 的装机量常年稳居百万级,也是不少站长优化站点加载速度的核心选择,而此次爆出的 CVE-2025-9501 漏洞,其风险等级更是拉满。该漏洞最早由安全研究员wcraft披露至WPScan平台,漏洞覆盖W3 Total Cache 2.8.13及之前的所有版本,对应的CVSS安全评分达到9.0的「严重」级别,漏洞的根源,出在插件处理网站动态内容的核心机制上。
经安全人员溯源分析,问题集中在W3 Total Cache插件的_parse_dynamic_mfunc 核心函数中。该函数为了提升动态页面的加载效率,采用PHP的eval () 函数执行缓存页面评论区中嵌入的相关代码,这一设计本身就埋下了巨大的安全隐患 —— 一旦攻击者在网站评论区中注入特制恶意代码,插件会直接将这类恶意代码判定为合法指令执行,相当于给黑客留了可直接利用的后门,进而发起后续攻击。
而更让站长揪心的是,这款插件的厂商针对该漏洞的修复过程,被安全研究人员直言是一场「安全马戏团」,三次修复、三次失效,补丁的防护逻辑均存在明显漏洞,完全没能堵住风险。
第一次推出的2.8.13版本,厂商仅用简单的str_replace函数做恶意标签的移除处理,防护逻辑过于粗暴。面对这种修复方式,攻击者只需要对安全令牌做简单的嵌套拼接,比如构造类似「rcercesecsec」的字符组合,插件程序剔除其中的「rcesec」字符后,剩余内容会自动重组为有效的攻击令牌,轻松绕过这次修复,漏洞依旧可用。
紧接着推送的2.8.14版本,厂商在原有基础上增加了多项校验规则,但安全人员测试后发现,漏洞的核心问题并未被解决,攻击手段仅需小幅调整,就能再次穿透防护,此次修复依旧宣告无效。
厂商随后加急推出的2.8.15版本,试图通过正则匹配「\s+」检测标签后的空格来拦截攻击请求,却犯了致命的细节错误:该插件的原生代码中,对空格的匹配规则本就是「\s*」(允许零空格),这就意味着,攻击者只要删掉标签与令牌之间的空格,就能直接绕开这次的正则校验,第三次修复也以失败告终。
值得一提的是,尽管该高危漏洞的利用门槛存在一定限制,并非所有使用该插件的站点都会立刻中招,但结合百万级的装机量,潜在的受影响站点规模依然不容小觑。
想要成功利用该漏洞发起攻击,攻击者需要同时满足三个条件:
其一,必须获取到站点管理员配置的W3TC_DYNAMIC_SECURITY 安全令牌,这串令牌多为站长自定义的私密字符串;
其二,被攻击的网站需开启「允许未登录游客发布评论」的功能;
其三,站点的页面缓存功能处于正常开启状态。
三个条件叠加看似缩小了攻击面,但在实际的建站场景中,不少站长为了提升用户体验,都会开放游客评论权限,同时页面缓存也是启用该插件的核心目的,这也让符合攻击条件的站点数量居高不下,安全风险持续存在。
针对目前厂商补丁屡修屡破的现状,业内安全专家给出明确的安全建议,单纯依靠插件版本更新,已经无法有效抵御该漏洞的攻击风险。
站长在将W3 Total Cache升级至最新的 2.8.15 版本之余,首要做的是立即核查站内配置的 W3TC_DYNAMIC_SECURITY 常量,务必确保这串安全令牌的唯一性和保密性,杜绝令牌泄露的可能;同时建议暂时关闭未验证游客的评论发布权限,仅对登录用户开放评论功能,从源头减少恶意代码注入的渠道;
此外,还需要重点审计站点 2025 年 10 月至今的所有评论日志,逐一排查评论区是否存在异常的代码注入痕迹,做到风险早发现、早处理。
此次WordPress 插件漏洞也再次警示站长,核心缓存插件的安全配置与定期审计,是保障 WP 站点安全的关键,后续也需持续关注 W3 Total Cache 官方的漏洞修复进展
