PHP Everywhere 三个 RCE 漏洞威胁大量 WordPress 网站

简介: PHP Everywhere 三个 RCE 漏洞威胁大量 WordPress 网站

PHP Everywhere 是一个开源的 WordPress 插件,它允许 WordPress 管理员在页面、帖子、侧边栏或任何 Gutenberg 块中插入 PHP 代码,并使用它来显示基于评估的 PHP 表达式的动态内容。

近日 Wordfence 安全研究员发现 PHP Everywhere 存在三个 RCE 漏洞,三个漏洞的 CVSS 评分全都达到 9.9(最高分 10 分),将会影响 2.0.3 及后续所有 WordPress 版本。它们是 CVE-2022-24663、CVE-2022-24664 和 CVE-2022-24665。

目前全球有超过 3 万个网站使用该插件,攻击者可以利用该插件在受影响的系统上执行任意代码,大量 WP 网站面临风险。

三个漏洞的简短描述如下:

  • CVE-2022-24663  – 远程代码执行漏洞,任何订阅者都可以利用该漏洞发送带有“短代码”参数设置为 PHP Everywhere 的请求,并在站点上执行任意 PHP 代码。
  • CVE-2022-24664  – 贡献者可以通过插件的元框利用的远程代码执行漏洞。攻击者会创建一个帖子,添加一个 PHP 代码元框,然后预览它。
  • CVE-2022-24665  – 具有“edit_posts”功能以使用 Gutenberg 块的贡献者可以利用的远程代码执行漏洞。易受攻击的插件版本的默认安全设置不是“仅限管理员”。

WordPress 所属公司 Wordfence 表示已在 1 月 4 日将问题告知该插件的作者 Alexander Fuchs,随后在 1 月 12 日发布新版本 3.0.0,完全删除了易受攻击代码。

该插件的更新说明页面指出,“3.0.0 版本的更新具有重大变化,删除了 PHP Everywhere 短代码和小部件。运行插件设置页面的升级程序,将旧代码迁移至 Gutenberg 块。”

值得注意的是,3.0.0 版本仅支持通过块编辑器的 PHP 代码片段,这意味着依赖于经典编辑器的用户必须卸载该插件并选择另一种使用自定义 PHP 代码的解决方案。

phpphp安全wordpress

目录
打赏
0
0
0
0
91
分享
相关文章
使用阿里云服务器自动搭建WordPress网站流程,超简单by系统运维管理OOS
本教程介绍如何使用阿里云服务器(ECS)和系统运维管理OOS自动搭建WordPress网站,支持Ubuntu、CentOS及Alibaba Cloud Linux等操作系统。前提条件包括ECS实例处于运行中、有公网IP且安全组已开启80端口。安装步骤简单:进入ECS快速购买控制台选择预装WordPress,确认下单后通过管理控制台查看实例详情并开放安全组端口。最后,通过实例公网IP访问,出现WordPress登录页即表示安装成功。
|
2月前
|
PHP安全性实践:防范常见漏洞与攻击####
本文深入探讨了PHP编程中常见的安全漏洞及其防范措施,包括SQL注入、XSS跨站脚本攻击、CSRF跨站请求伪造等。通过实际案例分析,揭示了这些漏洞的危害性,并提供了具体的代码示例和最佳实践建议,帮助开发者提升PHP应用的安全性。 ####
76 6
PHP安全性深度剖析:防范常见漏洞与最佳实践####
本文深入探讨了PHP编程中不可忽视的安全隐患,重点介绍了SQL注入、XSS攻击、CSRF攻击及文件包含漏洞等四大常见安全威胁。通过详尽的案例分析与防御策略阐述,为开发者提供了一套实用的安全编码指南。文章强调,提升代码安全性是保障Web应用稳健运行的关键,鼓励开发者在日常开发中积极践行安全最佳实践。 ####
PHP安全性深度探索:防范常见漏洞与最佳实践####
本文深入剖析了PHP开发中常见的安全漏洞,包括SQL注入、XSS攻击、CSRF攻击及文件包含漏洞等,并针对每种漏洞提供了详尽的防御策略与最佳实践。通过实例分析,引导读者理解如何构建更加安全的PHP应用,确保数据完整性与用户隐私保护。 ####
五个 WordPress 插件可提高网站参与度
五个 WordPress 插件可提高网站参与度
利用WordPress 模板建站,如果利用阿里云国际版获取网站高流量
利用WordPress 模板建站,如果利用阿里云国际版获取网站高流量
|
6月前
|
PHP代码审计示例(一)——淡然点图标系统SQL注入漏洞审计
PHP代码审计示例(一)——淡然点图标系统SQL注入漏洞审计
131 4