RCE缺点会影响PHP Everywhere,这是一个Web开拓职员能够在页面,帖子,侧边栏或任何带有Gutenberg块(WordPress中的编辑器块)的地方利用PHP代码的实用程序,用于利用内容管理系统(CMS)的域。
该插件在超过30,000个网站上利用。
根据WordFence威胁情报团队的说法,PHP Everywhere中的三个漏洞都会导致2.0.3以下的软件版本远程实行代码。
第一个漏洞的跟踪代码为 CVE-2022-24663,其 CVSS 严重性评分为 9.9。
WordPress许可经由身份验证的用户通过解析媒体短代码AJAX操作实行短代码。在这种情形下,如果登录的用户 - 纵然他们险些没有权限,例如如果他们是订阅者 - 可以发送精心设计的要求参数来实行任意PHP,从而导致完备网站接管。
CVE-2022-24664也发布了9.9的严重性评分,是安全研究职员表露的第二个RCE漏洞。此漏洞存在于 PHP Everywhere 如何管理元框(可拖动的编辑框)以及软件如何许可任何具有edit_posts功能的用户利用这些功能中。
WordFence说:"不受信赖的贡献者级用户可以利用PHP Everywhere元框在网站上实当代码实行,方法是创建一个帖子,将PHP代码添加到PHP Everywhere元框中,然后预览该帖子。"虽然此漏洞具有与短代码漏洞相同的CVSS分数,但它的严重程度较低,由于它须要贡献者级别的权限。
第三个漏洞被跟踪为 CVE-2022-24665,并且还发布了 9.9 的严重性等级。所有具有edit_posts权限的用户都可以利用 PHP Everywhere Gutenberg 阻挡,攻击者可以通过这些功能实行任意 PHP 代码来修改网站的功能。
可以将此功能仅设置为管理员,但在低于 2.0.3 软件版本中,默认情形下无法实现此功能。
WordFence于1月4日向开拓职员表露了这些漏洞,开拓职员迅速开拓了一组修复程序。1月10日,该插件的修补版本v.3.0.0推出。
开拓职员Alexander Fuchs表示,由于有必要删除某些块编辑器功能,因此该更新导致了"重大变动",因此面临问题的用户 - 例如,如果他们依赖于经典编辑器 - 还须要将旧代码升级到Gutenberg块或找到另一个办理方案来运行PHP。
在撰写本文时,超过30%的用户已经升级,因此许多网站仍在运行该插件的易受攻击版本。
