Se ha descubierto una vulnerabilidad de severidad crítica en el plugin W3 Total Cache para WordPress. Un actor malicioso podría permitir la ejecución de código PHP arbitrario en servidores web afectados, comprometiendo la seguridad, integridad y control total de los sitios afectados.
Productos afectados
- W3 Total Cache plugin para WordPress: versiones anteriores a 2.8.13 (todas las subversiones)
Impacto
La vulnerabilidad se ha identificado como:
CVE-2025-9501: con una puntuación de 9.0 en CVSS v3.1. Existe una vulnerabilidad de inyección de comandos en la función _parse_dynamic_mfunc del plugin W3 Total Cache. Un actor malicioso podría permitir la ejecución remota de comandos PHP no autenticados al enviar un payload manipulador mediante comentarios en publicaciones del sitio, obteniendo acceso total al servidor web a través de WordPress.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://www.cve.org/CVERecord?id=CVE-2025-9501
- https://wpscan.com/vulnerability/6697a2c9-63ae-42f0-8931-f2e5d67d45ae/