Uma vulnerabilidade crítica no plugin W3 Total Cache, amplamente utilizado em sites WordPress, está permitindo que cibercriminosos executem comandos PHP remotamente sem necessidade de autenticação. A falha foi identificada como CVE-2025-9501 e afeta todas as versões anteriores à 2.8.13. O problema está em um componente do plugin responsável por processar conteúdo dinâmico em áreas armazenadas em cache.
A falha permite que um invasor insira instruções maliciosas, que acabam sendo interpretadas e executadas pelo servidor, mesmo sem o atacante estar logado no site. Essa brecha oferece a um agente externo a capacidade de assumir controle total sobre o site WordPress afetado, incluindo criação de backdoors, modificação de arquivos, extração de dados e uso do ambiente para ataques em cadeia. A versão corrigida foi liberada em 20 de outubro de 2025. Apesar disso, estima-se que centenas de milhares de sites ainda estejam utilizando versões vulneráveis, mantendo uma superfície de ataque considerável para exploração.
Especialistas alertam para o risco elevado de exploração em massa, já que provas de conceito devem ser publicadas em breve. Como o W3 Total Cache é usado por sites com alto volume de tráfego, inclusive lojas virtuais, o impacto potencial é significativo. A recomendação imediata é atualizar o plugin para a versão 2.8.13 ou superior. Caso a atualização não possa ser aplicada de imediato, uma medida emergencial é desativar o plugin até que a correção seja implementada. Também é indicado revisar permissões de comentários e entradas de usuários, além de monitorar logs do servidor em busca de execuções PHP fora do comportamento usual.
