PHPEverywhere是一个开源的WordPress插件。最近,该插件被披露存在三个严重的安全漏洞。该插件已被全球30,000多个网站使用。攻击者可以利用此漏洞在受影响的网站上执行任意代码。PHPEverywhere可以随时随地在WordPress上启用PHP代码,使用户能够在内容管理系统页面、帖子和侧边栏中插入和执行基于PHP的代码。该插件还支持不同的用户限制和多个PHP实例。这三个漏洞在CVSS评级系统中的评分为9.9分(满分10分),并影响2.0.3及以下版本。漏洞的具体细节如下:CVE-2022-24663-此漏洞允许任何经过身份验证的用户通过parse-media-shortcodeAJAX操作执行简码,允许远程代码执行(登录用户几乎没有权限)在网站上,也可以完全接管网站,即WordPress中的订阅者)。CVE-2022-24664-通过metabox远程执行代码(此漏洞需要WordPress贡献者级别权限,因此严重性较低)。CVE-2022-24665-通过gutenberg块远程执行代码(也需要WordPress贡献者级别权限)如果网站存在这三个漏洞,黑客将能够利用它们执行恶意PHP代码,甚至实现完全接管网站访问权限。WordPress安全公司Wordfence于1月4日向该插件的作者AlexanderFuchs披露了这些缺陷,然后于1月12日发布了3.0.0版的更新,完全删除了易受攻击的代码。PHPEverywhere的更新说明显示:该插件的3.0.0版本更新有重大变化,删除了PHPEverywhere短代码和小部件。从插件的设置页面运行升级向导,将您的遗留代码迁移到古腾堡块。请注意,版本3.0.0仅通过块编辑器支持PHP片段,因此仍然依赖经典编辑器的用户有必要卸载插件并下载替代解决方案来托管自定义PHP代码。据WordPress统计,自漏洞修复以来,只有15,000个网站更新了该插件。本文转自OSCHINA文章标题:WordPress插件存在高危RCE漏洞,网站仅修复50%本文地址:https://www.oschina.net/news/182099/php-everywhere-wordpress-插件错误
