WordPress外挂PHP Everywhere存在3个风险值9.9的RCE漏洞

gamers • 2023年8月25日 15:50 • 投稿

安全厂商发现WordPress插件PHP Everywhere，存在3个风险值达9.9的远程代码执行（remote code execution，RCE）漏洞，影响超过3万个网站。在Wordfence通报后，WordPress维护单位已释出更新版本。

PHP Everywhere是WordPress插件，可让网站持有人在网站上任何地方都能执行PHP代码，它有一项功能允许以 WordPress 简码（shortcode）执行PHP code snippet。 PHP Everywhere开发者为Alexander Fuchs，安装数超过3万。

三项漏洞分别是CVE-2022-24663、CVE-2022-24664及 CVE-2022-24665。 Wordfence解释，WordPress允许任何经验证的用户透过parse-media-shortcode AJAX action执行简码，但PHP Everywhere CVE-2022-24663漏洞允许任何登入的使用者，包括Subscriber或Customer传送包含shortcode参数的呼叫到[php_everywhere] <arbitrary PHP>[/php_everywhere]。只要能在网站上执行任意PHP，通常就能完全接管网站。

CVE-2022-24664则和PHP Everywhere允许所有具edit_posts权限的用户（即Contributor）使用这个外挂的metabox有关。这表示Contributor层级用户可在PHP Everywhere metabox建立贴文，在其中加入PHP代码，再预览贴文以执行代码。

CVE-2022-24665则让具edit_posts能力的用户，利用PHP Everywhere Gutenberg block贴文并执行代码。本来可以将这功能限定在管理员，不过2.0.3版本以前为了功能检查用途而放宽到Contributor层级用户，使这个权限层级以上的用户都能利用Gutenberg block贴文来开采本漏洞。

三项漏洞的CVSS 3.1风险值都高达9.9。其中又以没有任何角色限制的CVE-2022-24663最危险。

Wordfence于今年1月初发现漏洞后即通报了开发者。后者于1月10日已发布最新的3.0.0版本。研究人员也呼吁网站管理员应尽速升级到最新版本。