亚汇网注:W3TotalCache是个主流WordPress缓存插件,全球站点装机量超过100万,近期爆发严重安全危机(CVE-2025-9501),根源在于插件处理动态内容的机制。研究人员“wcraft”最初向WPScan披露该漏洞时,它影响2.8.13之前的所有版本,CVSS评分为9.0,被评为“严重”级别。W3TotalCache的_parse_dynamic_mfunc函数使用PHP的eval()函数来执行缓存页面评论中嵌入的代码。虽然该设计旨在提升动态页面的加载效率,但也为黑客留下了后门,只要攻击者能在评论中注入特定代码,插件就会将其视为合法指令并直接执行。厂商的修复过程被研究人员形容为“安全马戏团”:2.8.13版本试图用str_replace移除恶意标签,但逻辑简单粗暴:攻击者只需将安全令牌嵌套(如构造"rcercesecsec"),当程序剔除中间的"rcesec"后,剩余字符会自动重组为有效令牌,令防御失效。2.8.14版本增加了更多检查,但漏洞依然存在。随后的2.8.15版本试图通过检测标签后的空格(正则\s+)来拦截攻击,却忽视了原代码允许“零空格”(正则\s*)的特性。攻击者只需删除标签与令牌间的空格,即可再次轻松穿透防线。尽管漏洞利用极其简单,但攻击者仍需满足三个特定条件:首先,必须获取管理员配置的W3TC_DYNAMIC_SECURITY安全令牌(通常为一串秘密字符串);其次,网站必须允许未登录用户发布评论;最后,页面缓存功能必须处于开启状态。虽然这些条件限制了攻击面,但在庞大的用户基数下,符合条件的受害者数量依然庞大。鉴于补丁屡修屡破的现状,单纯依赖更新已不足以确保安全。安全专家建议,管理员在升级至最新版本的同时,必须立即审计W3TC_DYNAMIC_SECURITY常量的唯一性,确保其未被泄露。此外,该安全公司建议暂时限制未验证用户的评论权限,并重点审查2025年10月以来的评论日志,排查是否存在异常代码注入痕迹。广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,亚汇网所有文章均包含本声明。
免责声明:本文章仅代表作者个人观点,不代表亚汇网立场,亚汇网仅提供信息展示平台。
更多行情分析及广告投放合作加微信: hollowandy
