数以万计WordPress网站面临着被攻击的风险,因为它使用的插件包含关键漏洞。该插件可以让用户在网站上更方便地使用PHP代码。
研究人员发现,任何级别的认证用户,甚至订阅者和客户,都可以完全接管安装插件的网站。
来自Wordfence Threat Intelligence研究人员在周二发表的一篇博文中发现PHP Everywhere插件安装在3万多个关键漏洞中WordPress网站。该插件的功能也与其名称相当,允许WordPress网站开发人员将PHP在网站的各种组件中放置代码,包括文章页面、帖子和侧栏。
Wordfence的Ram Gall帖子中写道:"这些漏洞很容易使用,也可以用来快速接管网站。
这三个漏洞主要是由插件中的默认设置引起的Wordfence开发人员通过合规披露程序通知后,这些漏洞在新版插件中得到了修复。
Wordfence1月4日,团队前往PHP Everywhere开发人员发送了电子邮件,并很快得到了回复。1月10日,他发布了一个重建的插件版本,以修复所有漏洞。Wordfence敦促所有使用该插件的人使用该插件WordPress网站经理立即安装新版本的插件。
关键性漏洞
研究人员写道,其中最危险的漏洞是订阅用户可以通过短代码进行远程代码执行,该漏洞与插件的功能有关,并且该漏洞被追踪为CVE-2022-24663,在CVSS也上获得了9.9的评级。
不幸的是,WordPress允许任何认证用户通过parse-media-shortcode AJAX为了执行短代码,一些插件也允许未经认证的短代码执行。因此,任何登录用户,甚至几乎没有任何权限的用户,如订阅者,都可以发送参数[php_everywhere]
研究人员发现,在WordPress网站上任意执行PHP网站通常可以完全接管代码。
另外两个漏洞分别被追踪CVE-2022-24664和CVE-2022-24665。Gall解释说,这两个漏洞CVSS评分与短码漏洞相同,但研究人员认为其严重程度略低。
前者是订阅用户通过metabox执行远程代码、漏洞和PHP Everywhere一个默认设置,允许所有设置edit_posts用户使用能力PHP Everywhere metabox。
不幸的是,这意味着不信任的用户可以使用它PHP Everywhere metabox,在PHP Everywhere metabox中添加PHP代码,预览帖子,实现网站的任何代码执行。
订阅用户通过第三个漏洞Gutenberg块执行远程代码PHP Everywhere一个默认设置,允许所有设置edit_posts用户使用能力PHP Everywhere Gutenberg块。
研究人员解释说:"虽然可以设置为管理员,但因为<=2.0.3版本不能禁用Gutenberg检查块编辑器,默认情况下没有设置。
不幸的是,这种设置意味着用户可以在网站上执行任何设置PHP代码。方法只是通过创建帖子来添加PHP everywhere块并添加代码,然后预览帖子。
风险及保护措施
对于使用开源内容管理系统建立网站的开发者,WordPress插件一直是痛点,经常受到威胁WordPress网站安全漏洞。
研究人员上个月发现了三个月WordPress该插件有相同的漏洞,允许攻击者在网站管理员的操作下更新任何网站选项,并完全接管它。去年10月,一个名字Hashthemes Demo Importer的WordPress插件允许订阅者完全删除网站的内容。
事实上,根据RiskBased Security研究人员,可用的WordPress2021年,插件漏洞数量爆炸性增加,三位数增加。
就其本身而言,Wordfence已经向受PHP Everywhere影响漏洞的用户提供了自己的缓解措施。在研究人员通知开发人员的同一天,公司及时为其高级用户提供了修复PHP Everywhere漏洞防火墙规则。该公司后来将防火墙扩展到其他客户和免费版本Wordfence的用户。
根据这个帖子,Wordfence还通过其Wordfence Care服务受漏洞影响WordPress用户提供事件响应服务。
本文翻译自:https://threatpost.com/php-everywhere-bugs-wordpress-rce/178338/如果转载,请注明原始地址。