RCE en W3 Total Cache (WordPress)
Resumen
El Equipo de Respuesta a Incidentes de Seguridad Informática de la Universidad Católica "Nuestra Señora de la Asunción" (CSIRT-UC) emite una alerta CRÍTICA sobre una vulnerabilidad de alta severidad en el popular plugin de caching W3 Total Cache para WordPress.
La falla, identificada como CVE-2025-9501, tiene una puntuación de 9.0 en CVSS v3.1 y permite la Ejecución Remota de Código (RCE) no autenticada. Un atacante puede explotar esta vulnerabilidad simplemente enviando un payload manipulado, a través de comentarios en publicaciones o entradas del sitio web.
La explotación exitosa resulta en la ejecución de código PHP arbitrario, lo que conduce al compromiso total del sitio web y del servidor subyacente.
Detalles Técnicos de la Vulnerabilidad
| Atributo | Detalle |
| Identificador CVE | CVE-2025-9501 |
| Puntuación CVSS v3.1 | 9.0 (CRÍTICA) |
| Tipo de Falla | Inyección de Comandos (mediante PHP arbitrary code execution). |
| Mecanismo | La función _parse_dynamic_mfunc del plugin no valida correctamente la entrada del usuario. Esto permite al atacante inyectar comandos PHP arbitrarios dentro de los comentarios. |
| Vector de Ataque | Remoto y No Autenticado. El atacante no necesita credenciales de usuario para explotar la falla. |
| Impacto Potencial | Ejecución de Código Arbitrario (RCE). Acceso de control total al servidor web a través de WordPress. |
Productos Afectados y Mitigación
| Producto Afectado | Versiones Vulnerables (Anteriores a) | Recomendación URGENTE |
| W3 Total Cache plugin (WordPress) | Todas las versiones anteriores a 2.8.13 | Actualizar a la versión 2.8.13 o posterior inmediatamente. |
Recomendación
El CSIRT-UC instruye a TODOS los administradores de sitios WordPress a tomar las siguientes medidas con MÁXIMA PRIORIDAD:
- Actualización Inmediata: Actualice el plugin W3 Total Cache a la versión 2.8.13 o superior a través del panel de administración de WordPress.
- Verificación de Logs: Después de aplicar el parche, revise los logs de su servidor web en busca de cualquier evidencia de inyección de código o actividad sospechosa anterior a la actualización.
- Filtrado de Comentarios (Temporal): Si la actualización no puede realizarse de inmediato, se recomienda deshabilitar temporalmente la funcionalidad de comentarios para mitigar el vector de ataque principal.
Referencias Oficiales
- Detalle del CVE (NVD): https://www.cve.org/CVERecord?id=CVE-2025-9501
- Aviso de WPScan: https://wpscan.com/vulnerability/6697a2c9-63ae-42f0-8931-f2e5d67d45ae/
CSIRT-UC