一个名为 PHP Everywhere 的 WordPress 插件中披露了一个关键的安全漏洞,这个插件在全世界有超过30,000个网站使用,攻击者可能会利用这个漏洞在受影响的系统上执行任意代码。
PHP Everywhere 用于在 WordPress 安装过程中打开 PHP 代码的开关,使用户能够在内容管理系统的 Pages、 Posts 和 Sidebar 中插入和执行基于 PHP 的代码。
以下这三个问题,在 CVSS 评级系统中评级9.9(满分为10),影响版本2.0.3及之后的版本,如下:
- CVE-2022-24663-订阅者 + 用户通过短代码远程执行代码
- CVE-2022-24664-Contributor + 用户通过 metabox 远程执行代码,以及
- CVE-2022-24665-Contributor + 用户通过gutenberg块远程执行代码
成功利用这三个漏洞可能导致恶意 PHP 代码的执行,这些代码可以被用来实现完全的站点接管。
安全公司 WordPress 表示,他们在1月4日向插件作者 Alexander Fuchs 披露了这个漏洞,随后在2022年1月12日发布了3.0版本的更新,完全删除了漏洞代码。
“这个插件的3.0.0版本的更新是一个突破性的变化,它删除了[php_everywhere]的短代码和小部件,”插件的更新描述页面写道。“从插件设置页面运行升级向导,将旧代码迁移到Gutenberg块。”
值得注意的是,3.0.0版本只通过Block editor编辑器支持 PHP 代码片段,因此仍然依赖 Classic Editor的用户必须卸载该插件,并下载一个替代解决方案来托管自定义 PHP 代码。
来源:HackerNews