PHP Everywhere 三个 RCE 漏洞威胁大量 WordPress 网站

简介: PHP Everywhere 三个 RCE 漏洞威胁大量 WordPress 网站

PHP Everywhere 是一个开源的 WordPress 插件,它允许 WordPress 管理员在页面、帖子、侧边栏或任何 Gutenberg 块中插入 PHP 代码,并使用它来显示基于评估的 PHP 表达式的动态内容。

近日 Wordfence 安全研究员发现 PHP Everywhere 存在三个 RCE 漏洞,三个漏洞的 CVSS 评分全都达到 9.9(最高分 10 分),将会影响 2.0.3 及后续所有 WordPress 版本。它们是 CVE-2022-24663、CVE-2022-24664 和 CVE-2022-24665。

目前全球有超过 3 万个网站使用该插件,攻击者可以利用该插件在受影响的系统上执行任意代码,大量 WP 网站面临风险。

三个漏洞的简短描述如下:

  • CVE-2022-24663  – 远程代码执行漏洞,任何订阅者都可以利用该漏洞发送带有“短代码”参数设置为 PHP Everywhere 的请求,并在站点上执行任意 PHP 代码。
  • CVE-2022-24664  – 贡献者可以通过插件的元框利用的远程代码执行漏洞。攻击者会创建一个帖子,添加一个 PHP 代码元框,然后预览它。
  • CVE-2022-24665  – 具有“edit_posts”功能以使用 Gutenberg 块的贡献者可以利用的远程代码执行漏洞。易受攻击的插件版本的默认安全设置不是“仅限管理员”。

WordPress 所属公司 Wordfence 表示已在 1 月 4 日将问题告知该插件的作者 Alexander Fuchs,随后在 1 月 12 日发布新版本 3.0.0,完全删除了易受攻击代码。

该插件的更新说明页面指出,“3.0.0 版本的更新具有重大变化,删除了 PHP Everywhere 短代码和小部件。运行插件设置页面的升级程序,将旧代码迁移至 Gutenberg 块。”

值得注意的是,3.0.0 版本仅支持通过块编辑器的 PHP 代码片段,这意味着依赖于经典编辑器的用户必须卸载该插件并选择另一种使用自定义 PHP 代码的解决方案。

phpphp安全wordpress

目录
打赏
0
0
0
0
91
分享
相关文章
PHP外链网盘系统网站源码
> 本文将详细介绍如何从零构建一个基于PHP和MySQL的文件管理系统,分解项目代码并剖析每个模块的功能。我们将以`index.php`、`config.php`和`api.php`这三个核心文件为例,详细展示如何设计文件列表、数据库配置和文件上传接口,从而实现一个完整的文件管理系统。该文章可以作为学术研究和代码实现的参考。
171 98
免登录游客卡密发放系统PHP网站源码
这是一个简单易用的卡密验证系统,主要功能包括: 卡密管理和验证,多模板支持,响应式设计,验证码保护,防刷机制,简洁的用户界面, 支持自定义模板,移动端优化,安全性保护,易于部署和维护。
164 77
2024授权加密系统PHP网站源码
2024授权加密系统PHP网站源码
120 58
使用阿里云服务器自动搭建WordPress网站流程,超简单by系统运维管理OOS
本教程介绍如何使用阿里云服务器(ECS)和系统运维管理OOS自动搭建WordPress网站,支持Ubuntu、CentOS及Alibaba Cloud Linux等操作系统。前提条件包括ECS实例处于运行中、有公网IP且安全组已开启80端口。安装步骤简单:进入ECS快速购买控制台选择预装WordPress,确认下单后通过管理控制台查看实例详情并开放安全组端口。最后,通过实例公网IP访问,出现WordPress登录页即表示安装成功。
|
2月前
|
PHP安全性实践:防范常见漏洞与攻击####
本文深入探讨了PHP编程中常见的安全漏洞及其防范措施,包括SQL注入、XSS跨站脚本攻击、CSRF跨站请求伪造等。通过实际案例分析,揭示了这些漏洞的危害性,并提供了具体的代码示例和最佳实践建议,帮助开发者提升PHP应用的安全性。 ####
76 6
PHP与MySQL的无缝集成:构建动态网站的艺术####
本文将深入探讨PHP与MySQL如何携手合作,为开发者提供一套强大的工具集,以构建高效、动态且用户友好的网站。不同于传统的摘要概述,本文将以一个生动的案例引入,逐步揭示两者结合的魅力所在,最终展示如何通过简单几步实现数据驱动的Web应用开发。 ####
如何使用PHP开发一个购物网站?
在数字化时代,线上购物日益重要。本文介绍如何使用PHP开发一个功能完善、用户友好的购物网站,涵盖需求分析、开发环境选择、数据库设计、前后端开发、用户认证、商品展示、购物车、订单管理、功能扩展及安全性能优化等环节,旨在提供全面的开发指南。
60 3
|
3月前
|
PHP
20241125易支付PHP网站源码
PHP74,上传源码后解压访问域名/install 进行安装 安装完成 之后一定要设置伪静态 源码里面nginx.txt 就是伪静态 然后复制粘贴到伪静态里面保存即可
66 2
骗子曝光系统网站PHP源码
骗子曝光系统网站PHP源码 PHP 7.0+ Mysql 5.6+ 上传访问域名/install安装
78 2
PHP安全性深度剖析:防范常见漏洞与最佳实践####
本文深入探讨了PHP编程中不可忽视的安全隐患,重点介绍了SQL注入、XSS攻击、CSRF攻击及文件包含漏洞等四大常见安全威胁。通过详尽的案例分析与防御策略阐述,为开发者提供了一套实用的安全编码指南。文章强调,提升代码安全性是保障Web应用稳健运行的关键,鼓励开发者在日常开发中积极践行安全最佳实践。 ####