PHP Everywhere 三個(gè) RCE 漏洞威脅大量 WordPress 網(wǎng)站

PHP Everywhere 是一個(gè)開源的 WordPress 插件，它允許 WordPress 管理員在頁(yè)面、帖子、側(cè)邊欄或任何 Gutenberg 塊中插入 PHP 代碼，并使用它來(lái)顯示基于評(píng)估的 PHP 表達(dá)式的動(dòng)態(tài)內(nèi)容。

近日 Wordfence 安全研究員發(fā)現(xiàn) PHP Everywhere 存在三個(gè) RCE 漏洞，三個(gè)漏洞的 CVSS 評(píng)分全都達(dá)到 9.9（最高分 10 分），將會(huì)影響 2.0.3 及后續(xù)所有 WordPress 版本。

它們是 CVE-2022-24663、CVE-2022-24664 和 CVE-2022-24665。

目前全球有超過(guò) 3 萬(wàn)個(gè)網(wǎng)站使用該插件，攻擊者可以利用該插件在受影響的系統(tǒng)上執(zhí)行任意代碼，大量 WP 網(wǎng)站面臨風(fēng)險(xiǎn)。

三個(gè)漏洞的簡(jiǎn)短描述如下：

• CVE-2022-24663 ?– 遠(yuǎn)程代碼執(zhí)行漏洞，任何訂閱者都可以利用該漏洞發(fā)送帶有“短代碼”參數(shù)設(shè)置為 PHP Everywhere 的請(qǐng)求，并在站點(diǎn)上執(zhí)行任意 PHP 代碼。

• CVE-2022-24664 ?– 貢獻(xiàn)者可以通過(guò)插件的元框利用的遠(yuǎn)程代碼執(zhí)行漏洞。攻擊者會(huì)創(chuàng)建一個(gè)帖子，添加一個(gè) PHP 代碼元框，然后預(yù)覽它。

• CVE-2022-24665 ?– 具有“edit_posts”功能以使用 Gutenberg 塊的貢獻(xiàn)者可以利用的遠(yuǎn)程代碼執(zhí)行漏洞。易受攻擊的插件版本的默認(rèn)安全設(shè)置不是“僅限管理員”。