Uma vulnerabilidade de segurança grave foi descoberta num dos plugins mais populares do mundo para a plataforma WordPress, o W3 Total Cache (W3TC). A falha permite que atacantes executem comandos PHP no servidor e assumam o controlo total do site, bastando para isso publicar um simples comentário com código malicioso.
O problema, identificado como CVE-2025-9501, afeta todas as versões do plugin anteriores à 2.8.13. Trata-se de uma injeção de comandos não autenticada, o que significa que qualquer pessoa, sem necessitar de login ou privilégios de administração, pode explorar a brecha.
Um simples comentário pode comprometer o servidor
O W3 Total Cache é uma ferramenta essencial para milhões de administradores, utilizada para melhorar a performance e reduzir os tempos de carregamento das páginas. Com mais de um milhão de instalações ativas, a escala desta ameaça é considerável.
Segundo a análise da empresa de segurança WPScan, a vulnerabilidade reside na função _parse_dynamic_mfunc(), responsável por processar chamadas de funções dinâmicas incorporadas em conteúdo armazenado em cache.
Os investigadores explicam que o plugin é vulnerável a injeção de comandos através desta função, permitindo que utilizadores não autenticados executem comandos PHP arbitrários. O vetor de ataque é assustadoramente simples: basta submeter um comentário numa publicação que contenha uma carga maliciosa (payload). Se bem-sucedido, o atacante pode ganhar controlo total sobre o site WordPress vulnerável, executando qualquer comando no servidor sem qualquer verificação de credenciais.
Milhares de sites continuam expostos
O programador do plugin agiu rapidamente e lançou a versão 2.8.13 no passado dia 20 de outubro para corrigir esta falha de segurança. No entanto, os números são preocupantes: embora o plugin esteja instalado em mais de um milhão de sites, os dados do WordPress.org indicam que ocorreram apenas cerca de 430.000 downloads desde que a correção foi disponibilizada.
Isto significa que centenas de milhares de sites podem ainda estar a correr versões antigas e inseguras do software, deixando a porta aberta a ciberataques.
Para agravar a situação, os investigadores da WPScan desenvolveram um exploit de prova de conceito (PoC) para a CVE-2025-9501. A empresa anunciou que planeia publicar este código no dia 24 de novembro, dando aos administradores uma janela de oportunidade para instalarem as atualizações.
Historicamente, assim que um código de exploit é tornado público, a exploração maliciosa das falhas começa quase de imediato, com os atacantes a fazerem varrimentos automáticos à procura de alvos vulneráveis para comprometer.
A recomendação é urgente e clara: todos os utilizadores do W3 Total Cache devem atualizar imediatamente para a versão 2.8.13. Caso a atualização não seja possível antes do prazo estipulado, os administradores devem considerar desativar o plugin ou implementar medidas para garantir que os comentários não podem ser usados para enviar payloads maliciosos.
Nenhum comentário
Seja o primeiro!