安全厂商发现WordPress插件PHP Everywhere,存在3个风险值达9.9的远程程序代码执行(remote code execution,RCE)漏洞,影响超过3万个网站。在Wordfence通报后,WordPress维护单位已发布更新版本。
PHP Everywhere是WordPress插件程序,可让网站持有人在网站上任何地方都能执行PHP程序代码,它有一项功能允许以WordPress简码(shortcode)执行PHP code snippet。PHP Everywhere开发者为Alexander Fuchs,安装数超过3万。
三项漏洞分别是CVE-2022-24663、CVE-2022-24664及CVE-2022-24665。Wordfence解释,WordPress允许任何经验证的用户通过parse-media-shortcode AJAX action执行简码,但PHP Everywhere CVE-2022-24663漏洞允许任何登录的用户,包括Subscriber或Customer发送包含shortcode参数的调用到“php_everywhere”
CVE-2022-24664则和PHP Everywhere允许所有具edit_posts权限的用户(即Contributor)使用这个插件的metabox有关。这表示Contributor层级用户可在PHP Everywhere metabox创建贴文,在其中加入PHP程序代码,再预览贴文以执行程序代码。
CVE-2022-24665则让具edit_posts能力的用户,利用PHP Everywhere Gutenberg block贴文并执行程序代码。本来可以将这功能限定在管理员,不过2.0.3版本以前为了功能检查用途而放宽到Contributor层级用户,使这个权限层级以上的用户都能利用Gutenberg block贴文来开采本漏洞。
三项漏洞的CVSS 3.1风险值都高达9.9。其中又以没有任何角色限制的CVE-2022-24663最危险。
Wordfence于今年1月初发现漏洞后即通报了开发者。后者于1月10日已发布最新的3.0.0版本。研究人员也呼吁网站管理员应尽快升级到最新版本。