- Cacat plugin W3 Total Cache CVE-2025-9501 memungkinkan injeksi perintah PHP yang tidak diautentikasi
- Mempengaruhi semua versi sebelum 2.8.13; ~327.000+ situs masih berisiko
- Eksploitasi WPScan PoC ditetapkan pada 24 November, meningkatkan kekhawatiran eksploitasi massal
W3 Total Cache (W3TC), a plugin WordPress dengan lebih dari satu juta pengguna, membawa kerentanan dengan tingkat keparahan kritis yang memungkinkan pelaku ancaman mengambil alih sepenuhnya situs web yang disusupi, demikian peringatan para ahli.
Bug ini digambarkan sebagai kelemahan injeksi perintah yang bekerja dengan mengirimkan komentar dengan muatan berbahaya ke sebuah postingan. Penyerang tidak perlu diautentikasi di situs web untuk memasukkan perintah PHP dengan cara ini.
Kerentanan tersebut kini dilacak sebagai CVE-2025-9501, dan dengan skor tingkat keparahan 9,0/10 (kritis), kerentanan ini memengaruhi semua versi plugin sebelum 2.8.13.
Batas waktu 24 November
Untuk menambal kekurangan tersebut, pengguna harus memperbarui plugin mereka ke versi 2.8.13, yang dirilis pada 20 Oktober.
Melihat data dari situs WordPress.org disebutkan bahwa 67,3% halaman telah diperbarui ke versi 2.8, sedangkan 32,7% sisanya berada pada versi lama. Hal ini akan membahayakan setidaknya 327.000 situs web.
Namun, hal ini tidak berarti bahwa 67,3% semuanya menjalankan versi 2.8.13, sehingga jumlah sebenarnya situs web yang rentan mungkin jauh lebih besar.
Dalam penasihat keamanan mereka, peneliti dari WPScan, pemindai keamanan yang dibuat khusus untuk WordPress pembuat situs webmengatakan mereka mengembangkan eksploitasi Proof-of-Concept (PoC) untuk kelemahan tersebut, dan menetapkan batas waktu hingga 24 November untuk mempublikasikannya. Sebelumnya, mereka mengharapkan sebagian besar situs web memperbarui plugin mereka ke versi aman.
Dalam banyak kasus, eksploitasi massal dimulai saat PoC dirilis, karena banyak pelaku ancaman tidak mau repot-repot mengembangkannya sendiri, dan hanya akan mengambil apa pun yang sudah ada. Oleh karena itu, sangat penting bagi pemilik dan admin situs WordPress untuk memperbarui sebelum batas waktu.
Melalui BleepingComputer
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
