Falhas críticas de RCE no plug-in ‘PHP Everywhere’ afetam milhares de sites WordPress
Vulnerabilidades críticas de segurança foram divulgadas em um plugin do WordPress conhecido como PHP Everywhere que é usado por mais de 30.000 sites em todo o mundo e pode ser abusado por um invasor para executar código arbitrário nos sistemas afetados.
O PHP Everywhere é usado para ativar o código PHP nas instalações do WordPress, permitindo que os usuários insiram e executem código baseado em PHP nas páginas, postagens e barra lateral do sistema de gerenciamento de conteúdo.
As três questões, todas classificadas com 9,9 de um máximo de 10 no sistema de classificação CVSS, impactam as versões 2.0.3 e abaixo, e são as seguintes:
- CVE-2022-24663 – Execução remota de código por usuários Subscriber+ via shortcode
- CVE-2022-24664 – Execução remota de código por usuários do Contributor+ via metabox, e
- CVE-2022-24665 – Execução remota de código por usuários do Contributor+ via bloco gutenberg
A exploração bem-sucedida das três vulnerabilidades pode resultar na execução de código PHP malicioso que pode ser aproveitado para obter um controle completo do site.
A empresa de segurança WordPress Wordfence disse que divulgou as deficiências ao autor do plugin, Alexander Fuchs, em 4 de janeiro, após o qual as atualizações foram emitidas em 12 de janeiro de 2022 com a versão 3.0.0, removendo completamente o código vulnerável.
“A atualização para a versão 3.0.0 deste plug-in é uma alteração importante que remove o código de acesso e o widget [php_everywhere]”, diz a página de descrição atualizada do plug-in. “Execute o assistente de atualização da página de configurações do plug-in para migrar seu código antigo para blocos Gutenberg.”
Vale a pena notar que a versão 3.0.0 suporta apenas snippets PHP por meio do editor Block , exigindo que os usuários que ainda dependem do Classic Editor desinstalem o plug-in e baixem uma solução alternativa para hospedar código PHP personalizado.
Fonte: https://thehackernews.com/