يمكن استغلال عيب خطير في البرنامج الإضافي W3 Total Cache (W3TC) WordPress لتشغيل أوامر PHP على الخادم عن طريق نشر تعليق يحتوي على حمولة ضارة.
الثغرة الأمنية، تعقبها”https://nvd.nist.gov/vuln/detail/CVE-2025-9501″ الهدف=”_blank” rel=”nofollow noopener”>CVE-2025-9501، يؤثر على كافة إصدارات البرنامج المساعد W3TC قبل 2.8.13 ويوصف بأنه حقن أوامر غير مصادق عليه.
تم تثبيت W3TC على أكثر من مليون موقع ويب لزيادة الأداء وتقليل أوقات التحميل.
“https://www.bleepstatic.com/c/w/wiz/AI-Data-Security-970×250.png” البديل=”Wiz”>
أصدر المطور الإصدار 2.8.13، الذي يعالج المشكلة الأمنية، في 20 أكتوبر. ومع ذلك، استنادًا إلى بيانات من WordPress.org، قد لا تزال مئات الآلاف من مواقع الويب معرضة للخطر، حيث تم تنزيل حوالي 430.000 مرة منذ أن أصبح التصحيح متاحًا.
تقول شركة أمان WordPress WPScan أن المهاجم يمكنه تشغيل CVE-2025-9501 وإدخال الأوامر من خلال_parse_dynamic_mfunc()الوظيفة المسؤولة عن معالجة استدعاءات الوظائف الديناميكية المضمنة في المحتوى المخزن مؤقتًا.
“ال [W3TC] البرنامج المساعد عرضة لإدخال الأوامر عبر وظيفة _parse_dynamic_mfunc، مما يسمح للمستخدمين غير المصادقين بتنفيذ أوامر PHP عن طريق إرسال تعليق يحتوي على حمولة ضارة إلى منشور،””https://wpscan.com/vulnerability/6697a2c9-63ae-42f0-8931-f2e5d67d45ae/” الهدف=”_blank” rel=”nofollow noopener”>WPScan
قد يتمكن المهاجم الذي يستغل تنفيذ تعليمات PHP البرمجية بنجاح من السيطرة الكاملة على موقع WordPress الضعيف، حيث يمكنه تشغيل أي أمر على الخادم دون الحاجة إلى المصادقة.
طور باحثو WPScan ثغرة إثبات المفهوم (PoC) لـ CVE-2025-9501 وقالوا إنهم سينشرونها في 24 نوفمبر لمنح المستخدمين الوقت الكافي لتثبيت التحديثات.
عادةً، يبدأ الاستغلال الضار للعيوب فورًا تقريبًا بعد نشر ثغرة إثبات المفهوم (PoC). عادة، بعد نشر كود الاستغلال، يبحث المهاجمون عن أهداف محتملة ويحاولون اختراقها.
يجب على مسؤولي مواقع الويب الذين لا يستطيعون الترقية بحلول الموعد النهائي التفكير في إلغاء تنشيط المكون الإضافي W3 Total Cache أو اتخاذ الإجراء اللازم للتأكد من عدم إمكانية استخدام التعليقات لتوصيل حمولات ضارة قد تؤدي إلى استغلال الثغرات.
الإجراء الموصى به هو الترقية إلى الإصدار 2.8.13 من W3 Total Cache، الذي تم إصداره في 20 أكتوبر.
“https://www.bleepstatic.com/c/w/wiz/2026-CISO-Spend_512x512.png” البديل=”Wiz”>
معيار ميزانية CISO لعام 2026
إنه موسم الميزانية! شارك أكثر من 300 من كبار مسؤولي أمن المعلومات وقادة الأمن كيفية التخطيط والإنفاق وتحديد الأولويات للعام المقبل. يجمع هذا التقرير رؤاهم، مما يسمح للقراء بقياس الاستراتيجيات، وتحديد الاتجاهات الناشئة، ومقارنة أولوياتهم مع توجههم إلى عام 2026.
تعرف على كيفية قيام كبار القادة بتحويل الاستثمار إلى تأثير قابل للقياس.