PHP Everywhere 是一個開源的 WordPress 外掛,它允許 WordPress 管理員在頁面、帖子、側邊欄或任何 Gutenberg 塊中插入 PHP 程式碼,並使用它來顯示基於評估的 PHP 表示式的動態內容。
近日 Wordfence 安全研究員發現 PHP Everywhere 存在三個 RCE 漏洞,三個漏洞的 CVSS 評分全都達到 9.9(最高分 10 分),將會影響 2.0.3 及後續所有 WordPress 版本。它們是 CVE-2022-24663、CVE-2022-24664 和 CVE-2022-24665。
目前全球有超過 3 萬個網站使用該外掛,攻擊者可以利用該外掛在受影響的系統上執行任意程式碼,大量 WP 網站面臨風險。
三個漏洞的簡短描述如下:
- CVE-2022-24663 – 遠端程式碼執行漏洞,任何訂閱者都可以利用該漏洞傳送帶有“短程式碼”引數設定為 PHP Everywhere 的請求,並在站點上執行任意 PHP 程式碼。
- CVE-2022-24664 – 貢獻者可以通過外掛的元框利用的遠端程式碼執行漏洞。攻擊者會建立一個帖子,新增一個 PHP 程式碼元框,然後預覽它。
- CVE-2022-24665 – 具有“edit_posts”功能以使用 Gutenberg 塊的貢獻者可以利用的遠端程式碼執行漏洞。易受攻擊的外掛版本的預設安全設定不是“僅限管理員”。
WordPress 所屬公司 Wordfence 表示已在 1 月 4 日將問題告知該外掛的作者 Alexander Fuchs,隨後在 1 月 12 日釋出新版本 3.0.0,完全刪除了易受攻擊程式碼。
該外掛的更新說明頁面指出,“3.0.0 版本的更新具有重大變化,刪除了 PHP Everywhere 短程式碼和小部件。執行外掛設定頁面的升級程式,將舊程式碼遷移至 Gutenberg 塊。”
值得注意的是,3.0.0 版本僅支援通過塊編輯器的 PHP 程式碼片段,這意味著依賴於經典編輯器的使用者必須解除安裝該外掛並選擇另一種使用自定義 PHP 程式碼的解決方案。