WordPress头部插件高危漏洞：官方三补丁失效，9/10站点需紧急修复

12月25日消息，科技媒体cyberkendra昨日（12月24日）发布博文称，WordPress缓存插件W3 Total Cache陷入安全泥潭。该插件拥有超过100万的安装量，但其针对CVE-2025-9501漏洞连续发布的三个补丁均被证实无效。

注：W3 Total Cache是一款主流的WordPress缓存插件，全球站点装机量超过100万。近期爆发的严重安全危机（CVE-2025-9501），根源在于插件处理动态内容的机制。

研究人员“wcraft”最初向WPScan披露该漏洞时，它影响了2.8.13之前的所有版本，CVSS评分为9.0，被定为“严重”级别。

W3 Total Cache的_parse_dynamic_mfunc函数使用PHP的eval()函数来执行缓存页面评论中嵌入的代码。虽然该设计旨在提升动态页面的加载效率，但也为黑客留下了后门。只要攻击者能在评论中注入特定代码，插件就会将其视为合法指令并直接执行。

厂商的修复过程被研究人员形容为“安全马戏团”：

2.8.13版本试图用str_replace移除恶意标签，但逻辑简单粗暴：攻击者只需将安全令牌嵌套（如构造 “rcercesecsec”），当程序剔除中间的 “rcesec” 后，剩余字符会自动重组为有效令牌，令防御失效。

2.8.14版本增加了更多检查，但漏洞依然存在。

随后的2.8.15版本试图通过检测标签后的空格（正则 s+）来拦截攻击，却忽视了原代码允许“零空格”（正则 s*）的特性。攻击者只需删除标签与令牌间的空格，即可再次轻松穿透防线。

尽管漏洞利用极其简单，但攻击者仍需满足三个特定条件：

首先，必须获取管理员配置的W3TC_DYNAMIC_SECURITY安全令牌（通常为一串秘密字符串）；

其次，必须允许未登录用户发布评论；

最后，页面缓存功能必须处于开启状态。

虽然这些条件限制了攻击面，但在庞大的用户基数下，符合条件的受害者数量依然可观。

鉴于补丁屡修屡破的现状，单纯依赖更新已不足以确保安全。安全专家建议，管理员在升级至最新版本的同时，必须立即审计W3TC_DYNAMIC_SECURITY常量的唯一性，确保其未被泄露。

此外，该安全公司建议暂时限制未验证用户的评论权限，并重点审查2025年10月以来的评论日志，排查是否存在异常代码注入痕迹。