数以万计的WordPress站点面临被攻击的风险,因为它们使用的插件包含严重漏洞。这个插件可以让用户更方便的在网站上使用PHP代码。研究人员发现的其中一个漏洞允许任何级别的经过身份验证的用户(甚至订阅者和客户)执行完全接管安装了该插件的网站的代码。在周二发布的一篇博客文章中,来自WordfenceThreatIntelligence的研究人员发现了PHPEverywhere中的三个严重漏洞,PHPEverywhere是一个安装在30,000多个WordPress网站上的插件。该插件的作用正如其名称所暗示的那样,允许WordPress网站开发人员将PHP代码放置在其网站的各个组件中,包括文章页面、帖子和侧边栏等位置。Wordfence的RamGall在帖子中写道:“这些漏洞非常容易被利用,也可以用来快速接管一个网站。”在开发人员收到.Wordfence团队在1月4日给PHPEverywhere的开发人员发了邮件,并得到了快速回复。然后,他于1月10日发布了该插件的重建版本,修复了所有错误。Wordfence敦促所有使用该插件的WordPress站点的管理员立即安装新版本。关键漏洞研究人员写道,这些漏洞中最危险的是通过订阅用户的简码远程执行代码,它与插件的功能有关,被追踪为CVE-2022-24663,也可在CVSS上找到。获得了9.9的评分。不幸的是,WordPress允许任何经过身份验证的用户通过parse-media-shortcodeAJAX执行短代码,并且一些插件也允许未经身份验证的短代码执行,因此任何登录用户,即使是几乎没有任何权限的用户,例如订阅者,也可以研究人员发现,通过为[php_everywhere]发送参数在WordPress网站上执行任意PHP代码通常可以完全接管该网站。另外两个漏洞分别被跟踪为CVE-2022-24664和CVE-2022-24665。Gall解释说,这两个漏洞的CVSS分数与短代码漏洞相同,但研究人员认为其严重程度略低。前者是订阅者通过metabox远程执行代码。此漏洞与PHPEverywhere的默认设置有关,该默认设置允许所有具有edit_posts功能的用户使用PHPEverywhere元数据框。不幸的是,这意味着不受信任的用户可以使用PHPEverywhere元数据框,创建帖子,然后在PHPEverywhere元数据框中添加PHP代码,预览帖子,并实现网站的任意代码执行。第三个漏洞是订阅用户通过Gutenberg块远程执行代码,这与PHPEverywhere的默认设置有关,该设置允许所有能够编辑帖子的用户使用PHPEverywhereGutenberg块。“虽然它可以设置为仅限管理员,但默认情况下不会设置,因为如果不禁用古腾堡块编辑器就无法检查版本<=2.0.3,”研究人员解释说。他说,不幸的是,这种设置意味着用户可以在网站上执行任意PHP代码。该方法也只是通过创建一个帖子,添加PHP无处不在块并在其中添加代码,然后预览帖子。风险和保护WordPress插件一直是使用开源内容管理系统构建网站的开发人员的痛点,通常存在威胁WordPress网站安全的漏洞。上个月,研究人员在三个WordPress插件中发现了相同的漏洞,攻击者可能会在网站管理员的控制下更新易受攻击站点上的任意站点选项并完全接管该站点。去年10月,一个名为HashthemesDemoImporter的WordPress插件允许订阅者完全清除网站的内容。事实上,根据RiskBasedSecurity的研究人员称,可利用的WordPress插件漏洞数量将在2021年呈爆炸式增长,增长三位数。就其本身而言,Wordfence已经为受PHPEverywhere漏洞影响的用户提供了自己的缓解措施。在研究人员通知开发人员的同一天,该公司迅速制定了防火墙规则,以修复其高级用户可以使用的PHPEverywhere漏洞。该公司后来将防火墙扩展到其他客户以及免费版Wordfence的用户。根据该帖子,Wordfence还通过其WordfenceCare服务为受该漏洞影响的WordPress用户提供事件响应服务。本文翻译自:https://threatpost.com/php-everywhere-bugs-wordpress-rce/178338/如有转载请注明出处。
