概要:WordPressの人気プラグインに深刻な脆弱性
WordPressの人気パフォーマンス最適化プラグイン「W3 Total Cache (W3TC)」に、深刻な脆弱性(CVE-2025-9501)が発見されました。この脆弱性を悪用されると、攻撃者は認証なしでサーバー上で任意のPHPコマンドを実行できる可能性があります。W3TCは100万以上のウェブサイトで利用されており、多くのサイトが影響を受ける可能性があります。
脆弱性の詳細:未認証コマンドインジェクション
今回発見された脆弱性(CVE-2025-9501)は、バージョン2.8.13より前のすべてのW3TCプラグインに影響します。これは「未認証コマンドインジェクション」と分類されており、攻撃者は悪意のあるペイロードを含むコメントを投稿することで、サーバー上のPHPコマンドを実行できます。
セキュリティ企業WPScanによると、この脆弱性はプラグインの_parse_dynamic_mfunc()関数がキャッシュされたコンテンツに埋め込まれた動的関数呼び出しを処理する際に悪用されます。攻撃に成功した場合、ウェブサイトの完全な制御を奪われる恐れがあります。
対応と推奨事項:即時アップグレードを
W3TCの開発者は、このセキュリティ問題に対処するため、10月20日にバージョン2.8.13をリリース済みです。しかし、WordPress.orgのデータによると、パッチが公開されてから43万回以上のダウンロードがあったものの、未だに数十万のウェブサイトが脆弱な状態にある可能性があります。
WPScanの研究者は、この脆弱性の概念実証(PoC)エクスプロイトを開発しており、ユーザーに十分なアップグレード期間を与えるため、11月24日に公開予定です。PoCの公開後には、悪用が急速に増加する傾向があるため、ウェブサイト管理者は早急な対応が求められます。
最も推奨される対策は、W3 Total Cacheをバージョン2.8.13に即座にアップグレードすることです。もし期限までにアップグレードが難しい場合は、一時的にW3 Total Cacheプラグインを無効化するか、コメント機能が悪意のあるペイロードの配信に利用されないよう対策を講じる必要があります。