PHPEverywhere三个RCE漏洞威胁大型WordPress站点计算PHP表达式。近日,Wordfence安全研究人员发现PHPEverywhere中存在三个RCE漏洞。三个漏洞的CVSS评分均达到9.9(最高分10分),将影响WordPress2.0.3及后续所有版本。它们是CVE-2022-24663、CVE-2022-24664和CVE-2022-24665。目前全世界有超过30,000个网站使用这个插件。攻击者可以利用该插件在受影响的系统上执行任意代码,大量WP网站面临风险。以下是对这三个漏洞的简短描述:CVE-2022-24663–远程代码执行漏洞,任何订阅者都可以利用该漏洞将“shortcode”参数设置为PHPEverywhere的请求发送到PHPEverywhere并在站点上执行任意PHP代码。CVE-2022-24664–一个远程代码执行漏洞,贡献者可以通过插件的元框加以利用。攻击者会创建一个帖子,添加一个PHP代码元框,然后进行预览。CVE-2022-24665–一个远程代码执行漏洞,具有“edit_posts”功能的贡献者可以利用该漏洞来使用Gutenberg块。易受攻击的插件版本的默认安全设置不是“仅限管理员”。拥有WordPress的公司Wordfence表示,它已于1月4日将该问题通知该插件的作者AlexanderFuchs,并于1月12日发布了一个新版本3.0.0,该版本完全删除了易受攻击的代码。该插件的更新说明页面指出,“版本3.0.0的更新有一个重大更改,删除了PHPEverywhere短代码和小部件。在插件设置页面上运行升级程序以将旧代码迁移到古腾堡块。”值得注意的是,3.0.0版本仅通过块编辑器支持PHP片段,这意味着依赖经典编辑器的用户必须卸载插件并选择其他使用自定义PHP代码的解决方案。
