研究公司Sucuri的团队今天下午宣布了W3TC和WP超级缓存的严重漏洞。（更新：该漏洞似乎是首次报告的WordPress.org网站该漏洞允许任何运行两个最流行的WordPress缓存插件的人在服务器上本地执行远程PHP代码。这是一个严重的漏洞，因为它可能允许攻击者在您的服务器上执行代码。以下是每个易受攻击插件的版本：W3 Total Cache（0.9.2.8及以下版本易受攻击，0.9.2.9及更高版本不易受攻击）/升级在这里WP Super Cache（1.2及以下版本易受攻击，版本1.3.x及以上版本不易受攻击）/升级在这里作为预防措施，CloudFlare已经在我们的网络中应用了一个规则来保护两个插件中的这个特定漏洞。保护将自动应用于所有CloudFlare帐户，甚至免费帐户。您不需要做任何事情来启用保护。即使有了这种保护，如果您运行的是这些插件，您也应该立即升级（W3TC upgrade/WP Super Cache upgrade）。该漏洞非常严重，我们建议您在完成升级之前禁用插件。如果您还不是CloudFlare的客户，您可以免费注册以立即获得保护。技术细节该攻击利用这些插件中的几个函数，包括：mfunc、mclude和动态缓存内容。攻击者可以通过将注释粘贴到运行W3 Total Cache或WP Super Cache易受攻击版本的WordPress博客中，来执行在服务器上运行的PHP命令。例如，如果您运行的是易受攻击的插件版本，则会在注释中显示您当前的PHP版本：虽然这是无害的，但两个插件中的同一个mfunc调用可以在服务器上运行其他任意命令。这可用于访问服务器、执行任意数据库命令或远程安装恶意软件。同样，这是一个非常严重的漏洞，所有W3TC和W3超级缓存用户都应该立即升级（W3TC升级/WP超级缓存升级）。