WordPress vulnerável: ataque via comentário

Uma falha crítica foi identificada no plugin W3 Total Cache (W3TC) do WordPress, permitindo que comandos PHP sejam executados no servidor através de comentários com payloads maliciosos.
O problema afeta todas as versões anteriores à 2.8.13 e é classificado como injeção de comandos não autenticada.

O W3TC está presente em mais de 1 milhão de sites para melhorar desempenho e reduzir tempo de carregamento.
O desenvolvedor lançou a versão 2.8.13 em 20 de outubro para corrigir o problema, mas centenas de milhares de sites continuam vulneráveis.

Como o ataque funciona

Segundo a WPScan, o invasor envia um comentário a uma postagem, explorando a função _parse_dynamic_mfunc() responsável por processar chamadas dinâmicas em conteúdo cacheado.
Por meio dessa função, um usuário não autenticado pode executar comandos PHP no servidor e obter controle total do site.

Pesquisadores já desenvolveram um exploit de prova de conceito (PoC) e pretendem publicá-lo em 24 de novembro, dando tempo para atualização dos usuários.

Riscos e recomendações

• A exploração pode ser automatizada e iniciada logo após a divulgação do PoC, comprometendo sites rapidamente.
• Se não for possível atualizar imediatamente, recomenda-se desativar o plugin ou bloquear o uso de comentários para impedir envio de payloads.
• A proteção ideal é atualizar o W3 Total Cache para a versão 2.8.13.

Administradores devem agir antes do lançamento público do PoC, pois vulnerabilidades desse tipo geralmente são exploradas em larga escala logo após tornarem-se públicas.