Bleeping Computer 报导称:安全性科研工作人员在 WordPress 的“PHP Everywhere”插件中看到了三个比较严重的远程控制代码实行(RCE)漏洞,造成全世界超出 3 万只应用该插件的企业网站都遭受了危害。据了解,该插件致力于便捷管理人员在网页页面、贴子、侧栏、或一切 Gutenberg 块中插进 PHP 代码,并以此来表明根据评定的 PHP 关系式的动态性內容。
Wordfence 安全性投资分析师强调,CVSS v3 得分达到 9.9 的这三个漏洞,可被奉献着或定阅者所利用,且蔓延到 2.0.3 及下面的全部 WordPress 版本。
最先是 CVE-2022-24663:
只需推送含有‘短代码’基本参数的 PHP Everywhere 要求,一切定阅者都可以利用该 RCE 漏洞,并在网站上实行一切 PHP 代码。
次之是 CVE-2022-24664:
贡献者可依靠插件的元框来利用该 RCE 漏洞,前提条件是建立一则贴子,加上一个 PHP 代码元框,随后开展浏览。
随后是 CVE-2022-24665:
具备 edit_posts 管理权限、并可加上 PHP Everywhere Gutenberg 块的贡献者们,都可以利用该 RCE 漏洞。
在易受攻击的插件版本中,PHP Everywhere 并没有默认设置特定‘仅管理权限’可以用的安全策略,結果留有了这一安全隐患。
虽然后2个漏洞因必须贡献者的管理权限等级而不那麼很容易被利用,但第一个漏洞或是让业内觉得惊诧不已。
举例说明,只需某一客户在网址内以‘定阅者’的身分登陆,便足够得到对应的管理权限来实行故意 PHP 代码。
不论怎样,可在平台上实行随意代码,都有可能造成全部网站被网络攻击所接手 —— 这也是我的网站安全生产事故中最槽糕的一种状况。
截屏(来源于:Wordfence)
在 2022 年 1 月 4 日发觉了以上漏洞字后,Wordfence 精英团队迅速就向 PHP Everywhere 创作者通告了这事。
生产商于 2022 年 1 月 10 日公布了 3.0.0 版安全补丁,因为必须很多重新写过代码,因此版本号也发生了很大更改。
难堪的是,虽然开发人员行为快速,但系统管理员广泛不太会按时升级其 WordPress 网址和插件。
由 WordPress.org 共享的数据统计得知,自 Bug 修补计划方案发布至今,3 千次安裝中仅有 1.5 千次升级了插件。
有鉴于此,充分考虑三个 RCE 漏洞的严重后果,大家在这里强烈要求全部 PHP Everywhere 客户保证其已更新到全新可以用的 3.0.0 版本。
必须留意的是,假如你在网站上应用了經典编辑软件,则必须先卸载掉该插件、并寻找取代解决方法,以在其部件上代管自定的 PHP 代码。
由于 PHP Everywhere 的 3.0.0 版本仅适用根据 Block 编辑软件的 PHP 精彩片段,且创作者不太可能专注于修复落伍的 Classic 作用。