近日,WordPress 广泛使用的缓存插件 W3 Total Cache 被曝出存在一个高危漏洞(CVE-2025-9501),该漏洞评分高达 9.5/10,影响超过 100 万的安装量。该漏洞主要源于插件在处理动态内容时使用了 PHP 的 eval() 函数,这允许攻击者通过在评论中注入恶意代码来执行任意指令。值得注意的是,W3 Total Cache 官方针对此漏洞发布了三个补丁(2.8.13、2.8.14 和 2.8.15),但安全研究人员指出这些补丁都存在逻辑缺陷,无法有效阻止攻击。要利用这个漏洞,攻击者需要获取 W3TC_DYNAMIC_SECURITY 安全令牌,并且网站必须允许未登录用户发布评论以及开启页面缓存功能。针对这一安全事件,安全专家强烈建议管理员立即检查安全令牌的唯一性,限制未验证用户的评论权限,并仔细审查近期的评论日志。为了确保网站安全,管理员应尽快更新插件至最新版本,并采取其他必要的安全措施。

标签: none

评论已关闭