PHPEverywhere是一个开源的WordPress插件,它允许WordPress管理员在页面、帖子、侧边栏或任何Gutenberg块中插入PHP代码,并使用它来显示基于评估的PHP表达式的动态内容。近日Wordfence安全研究员发现PHPEverywhere存在三个RCE漏洞,三个漏洞的CVSS评分全都达到9.9(最高分10分),将会影响2.0.3及后续所有WordPress版本。它们是CVE--、CVE--和CVE--。目前全球有超过3万个网站使用该插件,攻击者可以利用该插件在受影响的系统上执行任意代码,大量WP网站面临风险。三个漏洞的简短描述如下:CVE--–远程代码执行漏洞,任何订阅者都可以利用该漏洞发送带有“短代码”参数设置为PHPEverywhere的请求,并在站点上执行任意PHP代码。CVE--–贡献者可以通过插件的元框利用的远程代码执行漏洞。攻击者会创建一个帖子,添加一个PHP代码元框,然后预览它。CVE--–具有“edit_posts”功能以使用Gutenberg块的贡献者可以利用的远程代码执行漏洞。易受攻击的插件版本的默认安全设置不是“仅限管理员”。WordPress所属公司Wordfence表示已在1月4日将问题告知该插件的作者AlexanderFuchs,随后在1月12日发布新版本3.0.0,完全删除了易受攻击代码。该插件的更新说明页面指出,“3.0.0版本的更新具有重大变化,删除了PHPEverywhere短代码和小部件。运行插件设置页面的升级程序,将旧代码迁移至Gutenberg块。”值得注意的是,3.0.0版本仅支持通过块编辑器的PHP代码片段,这意味着依赖于经典编辑器的用户必须卸载该插件并选择另一种使用自定义PHP代码的解决方案。
转载请注明:http://www.aierlanlan.com/rzgz/7015.html
