近日,科技安全领域传来一则引人关注的消息:一款广受欢迎的WordPress缓存插件W3 Total Cache陷入了严重的安全危机。该插件在全球范围内拥有超过100万的安装量,然而却因CVE-2025-9501漏洞问题,连续三次发布的补丁均未能有效解决问题,引发了广泛担忧。
W3 Total Cache作为主流的WordPress缓存插件,其设计初衷是为了提升动态页面的加载效率。然而,近期研究人员发现,该插件处理动态内容的机制存在严重缺陷,为黑客留下了可乘之机。具体来说,插件中的_parse_dynamic_mfunc函数使用了PHP的eval函数来执行缓存页面评论中嵌入的代码,这一设计虽有其便利性,但同时也为攻击者打开了后门。只要攻击者能在评论中注入特定代码,插件就会将其视为合法指令并直接执行,从而可能导致网站被恶意控制。
最初,研究人员“wcraft”向WPScan披露了这一漏洞,指出它影响2.8.13版本之前的所有版本,并根据CVSS评分系统将其评为“严重”级别,评分为9.0。面对这一严峻形势,插件厂商迅速行动,连续发布了三个补丁版本进行修复。然而,修复过程却并不顺利,被研究人员形容为“安全马戏团”。
在2.8.13版本中,厂商试图通过str_replace函数移除恶意标签,但这一方法逻辑简单且存在漏洞。攻击者只需将安全令牌进行嵌套构造,如“rcercesecsec”,当程序剔除中间的“rcesec”后,剩余字符会自动重组为有效令牌,从而绕过防御。随后发布的2.8.14版本虽然增加了更多检查,但漏洞依然存在。而2.8.15版本则试图通过检测标签后的空格来拦截攻击,却忽视了原代码允许“零空格”的特性,导致攻击者只需删除标签与令牌间的空格即可再次穿透防线。
尽管漏洞利用看似简单,但攻击者仍需满足三个特定条件才能成功实施攻击:首先,必须获取管理员配置的W3TC_DYNAMIC_SECURITY安全令牌;其次,网站必须允许未登录用户发布评论;最后,页面缓存功能必须处于开启状态。虽然这些条件在一定程度上限制了攻击面,但在庞大的用户基数下,符合条件的受害者数量依然不容小觑。
鉴于补丁屡修屡破的现状,单纯依赖更新已不足以确保网站安全。安全专家建议,管理员在升级至最新版本的同时,必须立即审计W3TC_DYNAMIC_SECURITY常量的唯一性,确保其未被泄露。为了进一步降低风险,安全公司还建议暂时限制未验证用户的评论权限,并重点审查近期评论日志,排查是否存在异常代码注入痕迹。这一系列措施旨在帮助管理员及时发现并应对潜在的安全威胁,保障网站的安全稳定运行。
