W3 Total Cache (W3TC) WordPress eklentisindeki kritik bir kusur, kötü amaçlı bir yük içeren bir yorum gönderilerek sunucuda PHP komutlarını çalıştırmak için kullanılabilir.
CVE-2025-9501 olarak takip edilen güvenlik açığı, W3TC eklentisinin 2.8.13’ten önceki tüm sürümlerini etkiliyor ve kimliği doğrulanmamış bir komut ekleme olarak tanımlanıyor.
W3TC, performansı artırmak ve yükleme sürelerini azaltmak için bir milyondan fazla web sitesine kuruludur.
Geliştirici, güvenlik sorununu gideren 2.8.13 sürümünü 20 Ekim’de yayınladı. Ancak WordPress.org’dan alınan verilere göre, yamanın kullanıma sunulmasından bu yana yaklaşık 430.000 indirme gerçekleştiğinden yüz binlerce web sitesinin hala savunmasız olabileceği belirtiliyor.
WordPress güvenlik şirketi WPScan, bir saldırganın CVE-2025-9501’i tetikleyebileceğini ve komutları _parse_dynamic_mfunc() Önbelleğe alınmış içeriğe gömülü dinamik işlev çağrılarını işlemekten sorumlu işlev.
“ [W3TC] eklentisi, _parse_dynamic_mfunc işlevi aracılığıyla komut enjeksiyonuna karşı savunmasızdır ve kimliği doğrulanmamış kullanıcıların bir gönderiye kötü amaçlı bir yük içeren bir yorum göndererek PHP komutlarını yürütmesine olanak tanır,” WPScan
Bu PHP kod yürütmesinden başarıyla yararlanan bir saldırgan, kimlik doğrulamaya gerek kalmadan sunucuda herhangi bir komutu çalıştırabileceğinden, savunmasız WordPress web sitesinin tam kontrolünü ele geçirebilir.
WPScan araştırmacıları, CVE-2025-9501 için bir kavram kanıtlama istismarı (PoC) geliştirdiler ve kullanıcılara güncellemeleri yüklemeleri için yeterli zaman vermek amacıyla bunu 24 Kasım’da yayınlayacaklarını söylediler.
Tipik olarak, kusurların kötü niyetli olarak kullanılması, PoC istismarının yayınlanmasının hemen ardından başlar. Tipik olarak, bir yararlanma kodu yayınlandıktan sonra saldırganlar potansiyel hedefleri arar ve onları ele geçirmeye çalışır.
Son tarihe kadar yükseltme yapamayan web sitesi yöneticileri, W3 Total Cache eklentisini devre dışı bırakmayı düşünmeli veya yorumların, istismarı tetikleyebilecek kötü amaçlı yükler dağıtmak için kullanılamayacağından emin olmak için gerekli önlemleri almalıdır.
Önerilen işlem, 20 Ekim’de yayımlanan W3 Total Cache sürüm 2.8.13’e yükseltmektir.
Bütçe mevsimi! 300’den fazla CISO ve güvenlik lideri, önümüzdeki yıl için nasıl planlama, harcama ve önceliklendirme yaptıklarını paylaştı. Bu rapor onların içgörülerini derleyerek okuyucuların stratejileri karşılaştırmasına, ortaya çıkan trendleri belirlemesine ve 2026’ya girerken önceliklerini karşılaştırmasına olanak tanıyor.
Üst düzey liderlerin yatırımı nasıl ölçülebilir etkiye dönüştürdüğünü öğrenin.