Với mã định danh CVE-2025-9501, lỗ hổng command injection này ảnh hưởng đến tất cả các plugin W3TC trước phiên bản 2.8.13. Hiện nay, W3TC được cài đặt trên hơn một triệu trang web để tăng hiệu suất và giảm thời gian tải.

Nhà phát triển đã phát hành phiên bản 2.8.13 để giải quyết vấn đề bảo mật vào ngày 20/10. Tuy nhiên, dựa trên dữ liệu từ WordPress.org, hàng trăm nghìn trang web vẫn có thể dễ bị tấn công vì đã có khoảng 430.000 lượt tải xuống kể từ khi bản vá được phát hành.

Công ty bảo mật WordPress WPScan cho biết, kẻ tấn công có thể kích hoạt CVE-2025-9501 và chèn lệnh vào thông qua  hàm _parse_dynamic_mfunc(), cho phép người dùng chưa xác thực và chạy lệnh PHP bằng cách gửi bình luận có chứa mã độc vào bài đăng.

Kẻ tấn công khai thác thành công mã thực thi PHP này có thể chiếm toàn quyền kiểm soát trang web WordPress dễ bị tấn công, vì chúng có thể chạy bất kỳ lệnh nào trên máy chủ mà không cần xác thực.

Các nhà nghiên cứu WPScan đã phát triển một bản khai thác bằng chứng khái niệm (PoC) cho CVE-2025-9501, đồng thời cho biết công bố vào ngày 24/11 để người dùng có đủ thời gian cài đặt các bản cập nhật.

Quản trị viên trang web không thể nâng cấp trước thời hạn nên cân nhắc việc tắt plugin W3 Total Cache hoặc thực hiện hành động cần thiết để đảm bảo rằng các bình luận không thể được sử dụng, để phân phối các phần mềm độc hại có thể kích hoạt khai thác.

Hành động được khuyến nghị là nâng cấp lên W3 Total Cache phiên bản 2.8.13, phát hành vào ngày 20/10.