Falhas críticas de RCE no plug-in ‘PHP Everywhere’ afetam milhares de sites WordPress

O PHP Everywhere é usado para ativar o código PHP nas instalações do WordPress, permitindo que os usuários insiram e executem código baseado em PHP nas páginas, postagens e barra lateral do sistema de gerenciamento de conteúdo.

As três questões, todas classificadas com 9,9 de um máximo de 10 no sistema de classificação CVSS, impactam as versões 2.0.3 e abaixo, e são as seguintes:

• CVE-2022-24663 – Execução remota de código por usuários Subscriber+ via shortcode
• CVE-2022-24664 – Execução remota de código por usuários do Contributor+ via metabox, e
• CVE-2022-24665 – Execução remota de código por usuários do Contributor+ via bloco gutenberg

A exploração bem-sucedida das três vulnerabilidades pode resultar na execução de código PHP malicioso que pode ser aproveitado para obter um controle completo do site.

A empresa de segurança WordPress Wordfence disse que divulgou as deficiências ao autor do plugin, Alexander Fuchs, em 4 de janeiro, após o qual as atualizações foram emitidas em 12 de janeiro de 2022 com a versão 3.0.0, removendo completamente o código vulnerável.

“A atualização para a versão 3.0.0 deste plug-in é uma alteração importante que remove o código de acesso e o widget [php_everywhere]”, diz a página de descrição atualizada do plug-in. “Execute o assistente de atualização da página de configurações do plug-in para migrar seu código antigo para blocos Gutenberg.”

Vale a pena notar que a versão 3.0.0 suporta apenas snippets PHP por meio do editor Block , exigindo que os usuários que ainda dependem do Classic Editor desinstalem o plug-in e baixem uma solução alternativa para hospedar código PHP personalizado.

Fonte: https://thehackernews.com/