WordPress上的PHP Everywhere插件曝出三個高危RCE漏洞
Bleeping Computer 報道稱:安全研究人員在 WordPress 的“PHP Everywhere”插件中發現了三個嚴重的遠程代碼執行(RCE)漏洞,導致全球超過 3 萬個使用該插件的網站都受到了影響。據悉,該插件旨在方便管理員在頁面、帖子、側邊欄、或任何 Gutenberg 塊中插入 PHP 代碼,并借此來顯示基于評估的 PHP 表達式的動態內容。
Wordfence 安全分析師指出,CVSS v3 評分高達 9.9 的這三個漏洞,可被貢獻著或訂閱者所利用,且波及 2.0.3 及以下的所有 WordPress 版本。
首先是 CVE-2022-24663:
只需發送帶有‘短代碼’參數設置的 PHP Everywhere 請求,任何訂閱者都可利用該 RCE 漏洞,并在站點上執行任何 PHP 代碼。
其次是 CVE-2022-24664:
貢獻者可借助插件的元框來利用該 RCE 漏洞,前提是創建一則帖子,添加一個 PHP 代碼元框,然后進行預覽。
然后是 CVE-2022-24665:
具有 edit_posts 權限、并可添加 PHP Everywhere Gutenberg 塊的貢獻者們,都可利用該 RCE 漏洞。
在易受攻擊的插件版本中,PHP Everywhere 并未默認指定‘僅管理員權限’可用的安全設置,結果留下了這一隱患。
盡管后兩個漏洞因需要貢獻者的權限級別而不那么容易被利用,但首個漏洞還是讓業界感到驚詫不已。
舉個例子,只要某個用戶在網站上以‘訂閱者’的身份登錄,便足以獲得相應的權限來執行惡意 PHP 代碼。
不論怎樣,可在網站上執行任意代碼,都可能導致整個站點被攻擊者所接管 —— 這也是所有網站安全事故中最糟糕的一種情況。
截圖(來自:Wordfence)
在 2022 年 1 月 4 日發現了上述漏洞字后,Wordfence 團隊很快就向 PHP Everywhere 作者通報了此事。
廠商于 2022 年 1 月 10 日發布了 3.0.0 版安全更新,由于需要大量重寫代碼,所以版本號也發生了重大改變。
尷尬的是,盡管開發者行動迅速,但網站管理員普遍不怎么會定期更新其 WordPress 網站和插件。
由 WordPress.org 分享的統計數據可知,自 Bug 修復方案推出以來,3 萬次安裝中只有 1.5 萬次更新了插件。
有鑒于此,考慮到三個 RCE 漏洞的嚴重性,我們在此強烈建議所有 PHP Everywhere 用戶確保其已升級到最新可用的 3.0.0 版本。
需要注意的是,如果你在站點上使用了經典編輯器,則需要先卸載該插件、并找到替代解決方案,以在其組件上托管自定義的 PHP 代碼。
因為 PHP Everywhere 的 3.0.0 版本僅支持基于 Block 編輯器的 PHP 片段,且作者不大可能致力于恢復落后的 Classic 功能。
推薦
直播更多》
-
特斯拉公司CEO埃隆馬斯克 向Twitter發出收購要約
和外界預期的一樣,特斯拉公司 CEO 埃...
-
特斯拉公司CEO埃隆馬斯克 向Twitter發出收購要約
和外界預期的一樣,特斯拉公司 CEO 埃...
-
筆記本電腦代工廠廣達發布公告 配合防疫政策暫時停工
筆記本電腦代工廠廣達今(13)日發布公告...
-
英特爾公司宣布斥資30億美元 擴建美國奧勒岡州D1X工廠
英特爾公司宣布斥資 30 億美元,擴建...
-
莆田電信積極組織開展安全運營專項工作 強化員工安全意識
為全面落實穩字當頭、穩中求進的云網安...
-
精準落實優惠稅率 河北高企稅費減免超百億元
近日,記者從河北省稅務局獲悉,2021年...
資訊更多》
焦點
- 奇瑞新能源一季度達成50013輛銷量 實現255.4%同比增長
- 昆山重新調整劃定5個靜態管理區 延長靜默期7天
- 受蘋果用戶隱私政策調整影響 科技巨頭2022年營收將減少近160億美元
- 加快湖北數字化轉型 5G信息技術重塑制造業發展形態
- 斯坦福大學團隊發表論文 展示大腦運動皮層神經網絡如何實現新記憶索引
- 廣東首座華南唯一 廣州匯云數據中心入選2021年國家新型數據中心名單
- 慢性疾病嚴重威脅我國居民健康 低齡化趨勢明顯
- 消除線路施工安全隱患 智慧光網云守護系統成為工地“火眼金睛”
- IMT-2020推進組蜂窩車聯工作組第二十次全體會議 近日在線上舉行
- 氣候變暖將珊瑚推向耐熱極限 人工智能助力尋找耐熱珊瑚