W3 Total Cache RCE CVE-2025-9501: PoC bedroht 1 Mio. Sites

Q: Wie behebe ich das Problem konkret?

Variante A: Update aus dem Plug-in-Dialog. Variante B: Plug-in vorübergehend deaktivieren, neue Version per FTP oder SSH hochladen, reaktivieren. Variante C: Wer keine Page-Cache-Funktion braucht, kann das Plug-in komplett rauswerfen und auf Cloudflare- oder Nginx-Caching umsteigen.

Q: Gibt es schon aktive Angriffe?

Der PoC ist diese Woche öffentlich geworden. Massenexploitation läuft erfahrungsgemäß innerhalb von 24 bis 72 Stunden nach Veröffentlichung an. Wenn du jetzt patchst, bist du wahrscheinlich rechtzeitig.

SCHOCK: Wenn du WordPress mit dem populären W3 Total Cache-Plug-in fährst, hör jetzt auf zu lesen und logg dich ein. Ein fertiger Proof-of-Concept-Exploit für CVE-2025-9501 ist seit dieser Woche öffentlich — und damit kann jeder mit etwas PHP-Halbwissen Sites zerlegen, die das Update nicht eingespielt haben.

UNGLAUBLICH: 1 MILLION Installationen, 327.000 verwundbar

W3 Total Cache läuft auf über einer Million WordPress-Sites — vom Hobby-Blog bis zum Online-Magazin. Die Lücke sitzt in der Funktion _parse_dynamic_mfunc der Klasse PgCache_ContentGrabber, die in Page-Cache-Kommentaren Code ausführt — über PHPs gefürchteten eval(). Stand November 2025 liefen noch 32,7 Prozent aller Sites auf einer verwundbaren Version. Das sind grob gerechnet 327.000 Seiten, die heute mit einem Klick übernommen werden können.

GEFAHR! So läuft der Angriff

Drei Voraussetzungen muss der Angreifer kennen oder erfüllen:

Die Konstante W3TC_DYNAMIC_SECURITY aus der wp-config.php. Die ist allerdings auf vielen Servern via Web-Scanner abgreifbar, wenn das Backup-Plug-in mal eine Datei zu viel preisgibt.
Page-Cache aktiviert — Standardeinstellung bei den meisten Performance-Installationen.
Kommentare für unangemeldete Gäste offen — bei vielen Blogs und News-Seiten Default.

Sind die Voraussetzungen erfüllt, schiebt der Angreifer einen präparierten Kommentar mit MFUNC-Tag in einen beliebigen Post. Beim nächsten Cache-Refresh feuert eval() — und dem Angreifer steht eine PHP-Shell offen.

So rettest du deine WordPress-Site in 2 MINUTEN

Im WP-Admin auf Plug-ins → W3 Total Cache → Update klicken. Mindestversion 2.8.13.
Falls du Auto-Updates nicht trauen willst: Plug-in deaktivieren und auf einen anderen Caching-Layer umschalten (z. B. WP Super Cache oder Cloudflare Cache).
Kommentar-Moderation auf „nichts ohne Freigabe“ stellen.
Logs auf merkwürdige Cache-Hits direkt nach Kommentaren scannen.

FAZIT: Sofort patchen — der Exploit ist ein Skript-Kiddie-Werkzeug

Mit einer öffentlichen PoC-Codezeile fällt die Angriffshürde von „Profi“ auf „Copy & Paste“. Wenn deine Site auf W3 Total Cache unter 2.8.13 läuft, ist die Frage nicht mehr ob, sondern wann jemand vorbeikommt. Patchen kostet zwei Minuten — eine Bereinigung nach Befall kann eine Woche kosten.

Häufige Fragen

Welche Versionen sind betroffen?

Alle W3-Total-Cache-Versionen unter 2.8.13. Die Lücke ist seit September 2025 bekannt, der Patch ist verfügbar. Wer trotzdem auf einer älteren Version sitzt, ist verwundbar.

Wie merke ich, ob mein WordPress verwundbar ist?

In Plug-ins → Installierte Plug-ins die W3-Total-Cache-Version anzeigen. Steht dort etwas wie 2.6, 2.7 oder 2.8.x mit x < 13, bist du im Risiko. Zusätzlich prüfen, ob in den W3TC-Einstellungen unter Page Cache der Schalter aktiv ist.

Wie behebe ich das Problem konkret?

Variante A: Update aus dem Plug-in-Dialog. Variante B: Plug-in vorübergehend deaktivieren, neue Version per FTP oder SSH hochladen, reaktivieren. Variante C: Wer keine Page-Cache-Funktion braucht, kann das Plug-in komplett rauswerfen und auf Cloudflare- oder Nginx-Caching umsteigen.

Gibt es schon aktive Angriffe?

Der PoC ist diese Woche öffentlich geworden. Massenexploitation läuft erfahrungsgemäß innerhalb von 24 bis 72 Stunden nach Veröffentlichung an. Wenn du jetzt patchst, bist du wahrscheinlich rechtzeitig.

WORDPRESS-HAMMER! Fertiger Exploit zerlegt JETZT 1 MILLION Seiten — W3 Total Cache lässt Code ohne Login durch