HIGHCVE-2026-5032CVSS 7.5

CVE-2026-5032：W3 Total Cache信息泄露漏洞 (CVSS 7.5)

平台

wordpress

组件

w3-total-cache

修复版本

2.9.4

AI Confidence: highNVDEPSS 0.1%已审阅: 2026年4月

在NVD查看

保存

CVE-2026-5032是WordPress W3 Total Cache插件中的一个信息泄露漏洞。当请求的User-Agent标头包含“W3 Total Cache”时，插件会绕过其整个输出缓冲和处理管道，导致W3TCDYNAMICSECURITY安全令牌等敏感信息泄露。受影响的版本包括0–2.9.3。此问题已在2.9.4版本中修复。

影响与攻击场景

CVE-2026-5032 是 WordPress 中 W3 Total Cache 插件中的信息泄露漏洞，影响版本高达 2.9.3。当请求的 User-Agent 头部包含 'W3 Total Cache' 时，该插件会绕过其整个输出缓冲和处理管道。这会导致 mfunc/mclude 动态片段 HTML 注释（包括 W3TCDYNAMICSECURITY 安全令牌）被渲染到页面源中。未经授权的攻击者可以发现此令牌的值。

利用背景

攻击者可以通过发送包含字符串 'W3 Total Cache' 的 User-Agent 头部 HTTP 请求来利用此漏洞。这可以使用诸如 curl 之类的工具或修改后的 Web 浏览器轻松完成。一旦发现 W3TCDYNAMICSECURITY 令牌，攻击者可能会利用它来执行恶意操作，例如操纵内容或代码注入，具体取决于该令牌在网站中的使用方式。

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

EPSS

0.07% (20% 百分位)

CISA SSVC

利用情况none

可自动化yes

技术影响partial

受影响的软件

组件w3-total-cache

供应商wordfence

影响范围修复版本

0 – 2.9.32.9.4

弱点分类 (CWE)

CWE-200

时间线

已保留2026-03-27
发布日期2026-04-02
修改日期2026-04-08
EPSS 更新日期2026-04-09

缓解措施和替代方案

建议的缓解措施是将 W3 Total Cache 插件更新到 2.9.4 或更高版本。此版本通过确保即使 User-Agent 头部包含 'W3 Total Cache'，输出缓冲和处理管道也能正确应用来修复漏洞。在更新之前，强烈建议创建您网站的完整备份。此外，请检查服务器日志，以查找可能表明先前漏洞利用的任何可疑活动。

修复方法

更新到 2.9.4 版本或更新的已修补版本

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-5032 是什么 — W3 Total Cache 中的 Remote Code Execution (RCE)？

这是一个由 W3 Total Cache 使用来保护网站某些动态元素的安全令牌。

W3 Total Cache 中的 CVE-2026-5032 是否会影响我？

检查 W3 Total Cache 插件的版本。如果版本低于 2.9.4，则容易受到攻击。

如何修复 W3 Total Cache 中的 CVE-2026-5032？

更改与网站相关的所有密码，包括数据库和 WordPress 管理面板。执行全面的安全扫描。

CVE-2026-5032 是否正在被积极利用？

是的，有一些 WordPress 漏洞扫描器可以检测此漏洞。

在哪里可以找到 W3 Total Cache 关于 CVE-2026-5032 的官方安全通告？

虽然并非严格必要，但建议在更新之前禁用插件，以尽量减少被利用的风险。