Redazione RHC : 21 noviembre 2025 08:56
Se ha descubierto una vulnerabilidad crítica, CVE-2025-9501, en el popular plugin de WordPress W3 Total Cache . Esta vulnerabilidad permite la ejecución de comandos PHP arbitrarios en el servidor sin autenticación. Para ejecutar el ataque, basta con dejar un comentario con el código malicioso en el recurso vulnerable.
El problema afecta a todas las versiones del plugin anteriores a la 2.8.13 y está relacionado con la función _parse_dynamic_mfunc(), que maneja las llamadas a funciones dinámicas en el contenido almacenado en caché.
Según los analistas de WPScan , un atacante puede inyectar comandos mediante esta función simplemente publicando un comentario especialmente diseñado en un sitio web. Si logra explotar esta vulnerabilidad, el atacante obtendrá control total sobre el sitio , lo que le permitirá ejecutar cualquier comando en el servidor.
W3 Total Cache es uno de los plugins de optimización de rendimiento de WordPress más populares, instalado en más de un millón de sitios web. Los desarrolladores lanzaron una versión corregida, la 2.8.13, el 20 de octubre de 2025. Sin embargo, según las estadísticas de WordPress.org, el plugin se ha descargado aproximadamente 430 000 veces desde entonces , lo que significa que cientos de miles de sitios web siguen siendo vulnerables a la vulnerabilidad CVE-2025-9501.
Los investigadores de WPScan han desarrollado una prueba de concepto de una vulnerabilidad , pero planean lanzarla recién el 24 de noviembre de 2025 para dar a los administradores de sitios web más tiempo para actualizarla. Esto se debe a que, tras publicar una prueba de concepto, los atacantes suelen iniciar una búsqueda masiva de objetivos vulnerables y atacarlos.
Se recomienda a los administradores del sitio que actualicen W3 Total Cache a la versión 2.8.13 lo antes posible. Si la actualización no es posible, se recomienda desactivar el plugin o tomar medidas para evitar que los comentarios se utilicen para distribuir malware (por ejemplo, desactivar los comentarios en el sitio o activar la moderación previa).
RedazioneEl panorama del ransomware está cambiando. Los actores más expuestos —LockBit, Hunters International y Trigona— han pagado el precio de la sobreexposición, incluyendo operaciones internacionale...
Hace exactamente 40 años, el 20 de noviembre de 1985, Microsoft lanzó Windows 1.0 , la primera versión de Windows, que intentó transformar el entonces ordenador personal, una máquina con una lín...
18 de noviembre de 2025 – Tras horas de interrupciones generalizadas , el incidente que afectó a la red global de Cloudflare parece estar cerca de resolverse. La compañía anunció que impleme...
Dos graves vulnerabilidades en el sistema operativo AIX de IBM podrían permitir a atacantes remotos ejecutar comandos arbitrarios en los sistemas afectados, lo que ha llevado a la compañía a public...
Masimo, una empresa estadounidense que desarrolla tecnologías de monitorización médica, ha ganado otra batalla legal contra Apple . Un jurado federal le otorgó 634 millones de dólares por infring...
