- W3 Total Cacheプラグインの脆弱性 CVE-2025-9501 により、認証不要のPHPコマンドインジェクションが可能
- 2.8.13未満の全バージョンに影響、約32万7,000以上のサイトが依然としてリスク下
- WPScanによるPoCエクスプロイトが11月24日に公開予定、大規模悪用への懸念が高まる
W3 Total Cache(W3TC)は、100万以上のユーザーを持つWordPressプラグインであり、専門家によると、攻撃者が侵害したウェブサイトを完全に乗っ取ることを可能にする重大な脆弱性が存在します。
このバグはコマンドインジェクションの脆弱性で、投稿に悪意のあるペイロードを含むコメントを送信することで機能します。攻撃者はこの方法でPHPコマンドを注入するために、ウェブサイト上で認証されている必要はありません。
この脆弱性はCVE-2025-9501として追跡されており、深刻度スコアは9.0/10(クリティカル)で、2.8.13未満の全バージョンのプラグインに影響します。
11月24日が締め切り
この脆弱性を修正するには、ユーザーは10月20日にリリースされたバージョン2.8.13にプラグインをアップデートする必要があります。
WordPress.orgのデータによると、67.3%のページがバージョン2.8にアップデートされていますが、残りの32.7%は古いバージョンのままです。これにより、少なくとも32万7,000のウェブサイトがリスクにさらされていることになります。
しかし、67.3%のすべてがバージョン2.8.13を使用しているとは限らないため、実際の脆弱なウェブサイトの数はさらに多い可能性があります。
WPScanの研究者は、WordPress専用のセキュリティスキャナーであるウェブサイトビルダーのセキュリティアドバイザリで、この脆弱性の概念実証(PoC)エクスプロイトを開発し、11月24日に公開する期限を設けたと述べています。それまでに大多数のウェブサイトが安全なバージョンにプラグインをアップデートすることを期待しています。
多くの場合、PoCが公開された瞬間から大規模な悪用が始まります。なぜなら、多くの攻撃者は自分でPoCを開発する手間をかけず、既に公開されているものを利用するからです。そのため、WordPressサイトの所有者や管理者は、締め切り前に必ずアップデートすることが重要です。
