安全厂商发现WordPress插件PHPEverywhere,存在3个风险值达9.9的远程程序代码执行(remotecodeexecution,RCE)漏洞,影响超过3万个网站。在Wordfence通报后,WordPress维护单位已发布更新版本。
PHPEverywhere是WordPress插件程序,可让网站持有人在网站上任何地方都能执行PHP程序代码,它有一项功能允许以WordPress简码(shortcode)执行PHPcodesnippet。PHPEverywhere开发者为AlexanderFuchs,安装数超过3万。
三项漏洞分别是CVE--、CVE--及CVE--。Wordfence解释,WordPress允许任何经验证的用户通过parse-media-shortcodeAJAXaction执行简码,但PHPEverywhereCVE--漏洞允许任何登录的用户,包括Subscriber或Customer发送包含shortcode参数的调用到“php_everywhere”
CVE--则和PHPEverywhere允许所有具edit_posts权限的用户(即Contributor)使用这个插件的metabox有关。这表示Contributor层级用户可在PHPEverywheremetabox创建贴文,在其中加入PHP程序代码,再预览贴文以执行程序代码。
CVE--则让具edit_posts能力的用户,利用PHPEverywhereGutenbergblock贴文并执行程序代码。本来可以将这功能限定在管理员,不过2.0.3版本以前为了功能检查用途而放宽到Contributor层级用户,使这个权限层级以上的用户都能利用Gutenbergblock贴文来开采本漏洞。
三项漏洞的CVSS3.1风险值都高达9.9。其中又以没有任何角色限制的CVE--最危险。
Wordfence于今年1月初发现漏洞后即通报了开发者。后者于1月10日已发布最新的3.0.0版本。研究人员也呼吁网站管理员应尽快升级到最新版本。