BleepingComputer报道称,安全研究人员在WordPress“PHPEverywhere”插件中发现了三个严重的远程代码执行(RCE)漏洞,导致超过30,000个使用该插件的网站受到影响.据悉,该插件旨在方便管理员在页面、帖子、侧边栏或任何古腾堡块中插入PHP代码,并使用它来显示基于评估的PHP表达式的动态内容。Wordfence安全分析师指出,这三个漏洞的CVSSv3评分为9.9,可被贡献者或订阅者利用,影响所有WordPress2.0.3及以下版本。首先是CVE-2022-24663:只需发送带有“短代码”参数集的PHPEverywhere请求,任何订阅者都可以利用此RCE漏洞并在站点上执行任何PHP代码。接下来是CVE-2022-24664:贡献者可以通过插件的元框通过创建帖子、添加PHP代码元框然后进行预览来利用此RCE漏洞。然后是CVE-2022-24665:具有edit_posts权限和添加PHPEverywhereGutenberg块的能力的贡献者可以利用此RCE漏洞。在该插件的易受攻击版本中,PHPEverywhere没有指定可用的“仅限管理员权限”的默认安全设置,因此隐藏了这一点。虽然后两个漏洞并不容易利用,因为它们需要贡献者的特权级别,但第一个漏洞让业界感到意外。例如,只需以“订阅者”身份登录网站就足以获得执行恶意PHP代码的适当权限。无论哪种方式,能够在网站上执行任意代码都可能导致整个网站被攻击者接管——这是所有网站安全事件中最严重的。截图(来自:Wordfence)上述漏洞词在2022年1月4日被发现后,Wordfence团队迅速将此事通知了PHPEverywhere作者。供应商于2022年1月10日发布了3.0.0版安全更新,需要对代码进行重大改写,因此版本号发生了较大变化。令人尴尬的是,尽管开发人员速度很快,但网站管理员通常不会定期更新他们的WordPress网站和插件。根据WordPress.org共享的统计数据,自错误修复推出以来,30,000个安装中只有15,000个更新了插件。考虑到这一点,并考虑到三个RCE漏洞的严重性,我们在此强烈建议所有PHPEverywhere用户确保他们已升级到最新的3.0.0版本。请注意,如果您在站点上使用经典编辑器,则需要先卸载该插件并找到替代解决方案以在其组件上托管自定义PHP代码。因为PHPEverywhere3.0.0版本仅支持基于Block编辑器的PHP片段,作者不太可能致力于恢复过时的Classic功能。
