Sebuah kerentanan kritis ditemukan pada plugin W3 Total Cache (W3TC) yang memungkinkan penyerang mengeksekusi perintah PHP langsung di server hanya dengan mengirimkan komentar berisi payload berbahaya. Celah ini tercatat sebagai CVE-2025-9501 dan diklasifikasikan sebagai unauthenticated command injection, karena dapat dieksploitasi tanpa login atau autentikasi apa pun.
W3 Total Cache, yang digunakan oleh lebih dari 1 juta situs WordPress, dirancang untuk meningkatkan performa dan menurunkan waktu muat halaman. Namun, versi sebelum 2.8.13 rentan terhadap serangan yang berpotensi memberi penyerang kendali penuh atas server.
Bagaimana Celah Ini Bekerja
Menurut WPScan, kerentanan ini berada pada fungsi _parse_dynamic_mfunc(), komponen yang bertugas memproses dynamic function calls yang tertanam dalam konten cache. Dengan mengirim komentar berisi payload tertentu, penyerang dapat memaksa plugin menjalankan perintah PHP secara langsung.
Eksploitasi berhasil memungkinkan penyerang:
- Menjalankan perintah PHP tanpa autentikasi
- Menjalankan perintah sistem pada server
- Mengambil kendali penuh atas instalasi WordPress yang terdampak
WPScan telah mengembangkan proof-of-concept (PoC) dan berencana merilisnya pada 24 November, memberikan waktu bagi admin untuk memperbarui situs sebelum eksploit beredar luas.
Ribuan Situs Masih Rentan
Versi 2.8.13—yang memperbaiki celah ini—telah dirilis pada 20 Oktober. Namun data WordPress.org menunjukkan baru sekitar 430.000 unduhan sejak patch tersedia, mengindikasikan bahwa ratusan ribu situs masih menggunakan versi lama dan tetap berada dalam risiko tinggi.
Seperti biasanya, eksploitasi masif sering terjadi segera setelah PoC dipublikasikan. Ini berarti situs yang belum diperbarui dapat menjadi target otomatis bot dan skrip pencari celah dalam hitungan jam.
Rekomendasi untuk Administrator Situs
Administrator WordPress sangat disarankan untuk:
1. Segera memperbarui W3 Total Cache ke versi 2.8.13
Ini adalah tindakan paling aman dan efektif.
2. Jika upgrade tidak memungkinkan:
- Nonaktifkan plugin W3TC sementara
- Pastikan komentar tidak dapat digunakan untuk memicu payload (misalnya dengan mematikan komentar atau menggunakan filter keamanan tambahan)
Tindakan proaktif diperlukan karena risiko eksploitasi otomatis meningkat tajam setelah kode PoC dipublikasikan.