PHP Everywhere 是一個(gè)開源的 WordPress 插件，近日該插件被披露存在三個(gè)嚴(yán)重的安全漏洞，該插件已被全球超過 3 萬(wàn)個(gè)網(wǎng)站使用，攻擊者可在受影響的網(wǎng)站上利用該漏洞，執(zhí)行任意代碼。

PHP Everywhere 可以隨時(shí)隨地啟用 WordPress 上的 PHP 代碼，使用戶能夠在內(nèi)容管理系統(tǒng)的頁(yè)面、帖子和側(cè)邊欄中插入和執(zhí)行基于 PHP 的代碼，該插件還支持不同的用戶限制和多個(gè) PHP 實(shí)例。

這三個(gè)漏洞在 CVSS 評(píng)級(jí)系統(tǒng)中都被評(píng)為 9.9 分(最高 10 分)，影響了 2.0.3 及以下版本，漏洞具體細(xì)節(jié)如下：

• CVE-2022-24663 - 該漏洞允許任何經(jīng)過身份驗(yàn)證的用戶通過 parse-media-shortcode AJAX 操作執(zhí)行簡(jiǎn)碼(shortcode)，從而進(jìn)行遠(yuǎn)程代碼執(zhí)行(網(wǎng)站上幾乎沒有權(quán)限的登錄用戶，也可以完全接管網(wǎng)站，即 WordPress 中的訂閱者)。
• CVE-2022-24664 - 通過 metabox 進(jìn)行遠(yuǎn)程代碼執(zhí)行(該漏洞需要 WordPress 貢獻(xiàn)者級(jí)別的權(quán)限，因此嚴(yán)重程度較低)。
• CVE-2022-24665 - 通過 gutenberg 塊進(jìn)行遠(yuǎn)程代碼執(zhí)行(同樣需要 WordPress 貢獻(xiàn)者級(jí)別的權(quán)限)

如果網(wǎng)站存在這三個(gè)漏洞，黑客將可以利用它們并執(zhí)行惡意的 PHP 代碼，甚至可以實(shí)現(xiàn)對(duì)網(wǎng)站的完全接管。

WordPress 安全公司 Wordfence 在 1 月 4 日就向該插件的作者 Alexander Fuchs 披露了上述這些漏洞，隨后在 1 月 12 日發(fā)布了 3.0.0 版本的更新中，已完全刪除了有漏洞的代碼。

PHP Everywhere 的更新說(shuō)明顯示：

這個(gè)插件的 3.0.0 版本更新具有重大變化，移除了 PHP Everywhere 的簡(jiǎn)碼和小組件。從該插件的設(shè)置頁(yè)面運(yùn)行升級(jí)向?qū)?，將你的舊代碼遷移到 Gutenberg 塊。

需要注意的是，3.0.0 版本只支持通過塊編輯器(Block editor)的 PHP 代碼片段，這使得仍然依賴經(jīng)典編輯器的用戶必須卸載該插件，并下載一個(gè)替代解決方案來(lái)托管自定義 PHP 代碼。

根據(jù) WordPress 的統(tǒng)計(jì)數(shù)據(jù)顯示，自修復(fù)錯(cuò)誤以來(lái)，目前僅有 1.5 萬(wàn)個(gè)網(wǎng)站更新了該插件。

本文轉(zhuǎn)自O(shè)SCHINA

本文標(biāo)題：WordPress 插件存在高危 RCE 漏洞，僅有 50% 網(wǎng)站修復(fù)

本文地址：https://www.oschina.net/news/182099/php-everywhere-wordpress-plugin-bug