安全廠商發現WordPress外掛PHP Everywhere,存在3個風險值達9.9的遠端程式碼執行(remote code execution,RCE)漏洞,影響超過3萬個網站。在Wordfence通報後,WordPress維護單位已釋出更新版本。

PHP Everywhere是WordPress外掛程式,可讓網站持有人在網站上任何地方都能執行PHP程式碼,它有一項功能允許以WordPress簡碼(shortcode)執行PHP code snippet。PHP Everywhere開發者為Alexander Fuchs,安裝數超過3萬。

三項漏洞分別是CVE-2022-24663、CVE-2022-24664及 CVE-2022-24665。Wordfence解釋,WordPress允許任何經驗證的用戶透過parse-media-shortcode AJAX action執行簡碼,但PHP Everywhere CVE-2022-24663漏洞允許任何登入的使用者,包括Subscriber或Customer傳送包含shortcode參數的呼叫到[php_everywhere]<arbitrary PHP>[/php_everywhere]。只要能在網站上執行任意PHP,通常就能完全接管網站。

CVE-2022-24664則和PHP Everywhere允許所有具edit_posts權限的使用者(即Contributor)使用這個外掛的metabox有關。這表示Contributor層級用戶可在PHP Everywhere metabox建立貼文,在其中加入PHP程式碼,再預覽貼文以執行程式碼。

CVE-2022-24665則讓具edit_posts能力的使用者,利用PHP Everywhere Gutenberg block貼文並執行程式碼。本來可以將這功能限定在管理員,不過2.0.3版本以前為了功能檢查用途而放寬到Contributor層級用戶,使這個權限層級以上的使用者都能利用Gutenberg block貼文來開採本漏洞。

三項漏洞的CVSS 3.1風險值都高達9.9。其中又以沒有任何角色限制的CVE-2022-24663最危險。

Wordfence於今年1月初發現漏洞後即通報了開發者。後者於1月10日已發布最新的3.0.0版本。研究人員也呼籲網站管理員應儘速升級到最新版本。

熱門新聞

Advertisement