Создан PoC для дыры в W3 Total Cache, под угрозой 1 млн WordPress-сайтов

Татьяна Никитина 25 Ноября 2025 - 13:42

Домашние пользователи

Малый и средний бизнес

Эксплойты

Уязвимости сайтов

Патчи

...

Создан PoC для дыры в W3 Total Cache, под угрозой 1 млн WordPress-сайтов

Специалисты по пентесту из германской компании RCE Security выложили в паблик PoC-эксплойт к недавно пропатченной критической уязвимости в W3 Total Cache. Администраторам сайтов рекомендуется как можно скорее обновить WordPress-плагин.

Проблема, зарегистрированная как CVE-2025-9501, позволяет без аутентификации выполнить вредоносный код в системе через инъекцию PHP-команд и перехватить контроль над сайтом. В настоящее время в интернете активны более 1 млн экземпляров W3 Total Cache.

Согласно бюллетеню WPScan, данная уязвимость возникла из-за некорректной реализации функции _parse_dynamic_mfunc, обеспечивающей выполнение кода, включенного в комментарии на кешированных страницах.

Эксплойт возможен лишь при определенных условиях. Тем не менее степень опасности уязвимости была оценена в 9 баллов по шкале CVSS — как критическая.

По словам авторов PoC-кода, для успешной атаки на целевом сайте должны отсутствовать ограничения на публикацию комментариев.

Авторам атаки также потребуется значение константы W3TC_DYNAMIC_SECURITY из файла wp-config.php. Дефолтное mycode или легко угадываемая комбинация значительно облегчат задачу злоумышленникам.

Наконец, в W3 Total Cache должно быть включено кеширование страниц, по умолчанию деактивированное.

Необходимые для эксплойта условия значительно сокращают вероятность атаки, однако в случае успеха злоумышленники смогут захватить контроль над сайтом и украсть конфиденциальные данные, установить бэкдор либо совершить иные вредоносные действия.

Спасительный патч был включен в состав сборки 2.8.13 (текущая версия плагина — 2.8.14). В качестве временной защиты эксперты советуют отключить кеширование страниц, ограничить возможность комментированная, оставив эту привилегию лишь авторизованным юзерам, а также удостовериться в надежности W3TC_DYNAMIC_SECURITY.

В уходящем году российские ИБ-эксперты зафиксировали рост числа атак на WordPress-сайты через подмену содержимого автоматически загружаемых плагинов (must-use). Подобный трюк позволяет злоумышленникам перенаправлять посетителей сайтов на другие ресурсы, устанавливать бэкдоры и внедрять вредоносный JavaScript-код, отрабатывающий в браузере.

Следующая главная новость »

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!

Екатерина Быстрова 05 Июня 2026 - 15:29

Уязвимости программ Соответствие законодательству РФ Общее Средства поиска уязвимостей Соответствие требованиям регуляторов

ФСТЭК обновила правила поиска уязвимостей и скрытых возможностей в ПО

ФСТЭК России утвердила новую методику выявления уязвимостей и недекларированных возможностей в программном обеспечении. Проще говоря, регулятор обновил правила, по которым будут искать дыры, ошибки и потенциально опасные функции в софте, проходящем сертификацию.

Новый документ предназначен прежде всего для испытательных лабораторий и разработчиков, которые участвуют в сертификации средств защиты информации, защищённого программного обеспечения и программно-аппаратных комплексов.

Методика будет применяться как при первичной сертификации продуктов, так и при внесении изменений в уже сертифицированные решения.

Особое внимание документ уделяет разработчикам средств защиты информации. Им рекомендуют использовать положения новой методики для выстраивания внутренних процессов безопасной разработки программного обеспечения в соответствии с требованиями ГОСТ Р 56939-2024.

Фактически речь идёт о том, чтобы искать потенциальные проблемы не только на финальном этапе испытаний, но и на протяжении всего жизненного цикла продукта.

При этом ФСТЭК официально отправила на пенсию предыдущую версию документа. Методика выявления уязвимостей и недекларированных возможностей, утверждённая ещё 25 декабря 2020 года, больше не применяется.

Для рынка информационной безопасности это не просто бюрократическое обновление. Методики ФСТЭК напрямую влияют на то, как проходят сертификацию российские средства защиты информации, какие проверки проводят лаборатории и какие требования предъявляются к разработчикам.

А учитывая, что количество уязвимостей в программном обеспечении продолжает расти, а требования к безопасной разработке становятся всё жёстче, обновление правил игры было лишь вопросом времени.

Так что разработчикам защищённого ПО, испытательным лабораториям и ИБ-подразделениям теперь придётся сверяться уже с новым набором требований. Старые инструкции официально ушли в архив.

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!