W3 Total Cache(W3TC)WordPressプラグインに存在する重大な欠陥は、悪意のあるペイロードを含むコメントを投稿することで、サーバー上でPHPコマンドを実行するために悪用される可能性があります。
この脆弱性は CVE-2025-9501 として追跡されており、バージョン2.8.13より前のすべてのW3TCプラグインに影響し、認証不要のコマンドインジェクションとして説明されています。
W3TCは、パフォーマンス向上と読み込み時間短縮のために、100万以上のウェブサイトにインストールされています。
開発者はこのセキュリティ問題に対処したバージョン2.8.13を10月20日にリリースしました。しかし、WordPress.orgのデータによると、パッチ公開後のダウンロード数が約43万件であることから、いまだ数十万のウェブサイトが脆弱なままである可能性があります。
WordPressセキュリティ企業のWPScanによると、攻撃者はキャッシュされたコンテンツ内に埋め込まれた動的関数呼び出しを処理する _parse_dynamic_mfunc() 関数を通じてCVE-2025-9501をトリガーし、コマンドを注入することができます。
「[W3TC]プラグインは _parse_dynamic_mfunc 関数を介したコマンドインジェクションに対して脆弱であり、認証されていないユーザーが、悪意のあるペイロードを含むコメントを投稿に送信することでPHPコマンドを実行できてしまいます」と、WPScanは述べています。
このPHPコード実行の脆弱性を攻撃者がうまく悪用した場合、サーバー上で任意のコマンドを認証なしで実行できるため、脆弱なWordPressサイトを完全に制御されてしまう可能性があります。
WPScanの研究者はCVE-2025-9501向けの概念実証(PoC)エクスプロイトを開発しており、ユーザーがアップデートをインストールする十分な時間を確保するため、11月24日に公開すると述べています。
一般的に、PoCエクスプロイトが公開されると、悪意ある攻撃はほぼ直ちに始まります。通常、エクスプロイトコードが公開された後、攻撃者は潜在的な標的を探し、侵害を試みます。
期限までにアップグレードできないウェブサイト管理者は、W3 Total Cacheプラグインを無効化するか、コメントを悪意のあるペイロードの配信手段として利用されないようにするための必要な対策を講じ、エクスプロイトがトリガーされないようにすることを検討すべきです。
推奨される対策は、10月20日にリリースされたW3 Total Cacheバージョン2.8.13へアップグレードすることです。
