PHP Everywhere漏洞使三万多个WordPress网站处于RCE攻击风险中

研究人员说，该插件的默认设置可能会允许他人完全接管网站，但该漏洞后来在产品的更新中进行了修复。

有数以万计的WordPress网站由于其使用的一个插件中含有关键的漏洞，从而使得网站面临着被攻击的风险。该插件可以使用户更方便的在网站上使用PHP代码。

研究人员发现，其中的一个漏洞允许任何级别的认证用户，甚至是订阅者和客户执行代码，完全接管安装了该插件的网站。

来自Wordfence Threat Intelligence的研究人员在周二发表的一篇博文中发现了PHP
Everywhere中的三个关键漏洞，该插件安装在超过3万个WordPress网站上。该插件的作用也恰如其名，它允许WordPress网站开发人员将PHP代码放在网站的各种组件中，包括文章页面、帖子和侧边栏等位置。

Wordfence的Ram Gall在帖子中写道："这些漏洞非常容易被利用，而且还可以被用来快速接管一个网站。”

这三个漏洞主要是由于插件中的默认设置造成的，在Wordfence通过合规的披露程序通知了开发人员后，在新版的插件中，这些漏洞已经得到了修复。

Wordfence团队在1月4日向PHP
Everywhere的开发者发送了电子邮件，并很快得到了答复。他随后于1月10日发布了一个重建的插件版本，修复了所有漏洞。Wordfence敦促所有使用该插件的WordPress网站的管理者立即安装新版本的插件。

关键性漏洞

研究人员写道，其中最危险的漏洞是订阅用户可以通过短代码进行远程代码执行，该漏洞与插件的功能有关，并且该漏洞被追踪为CVE-2022-24663，在CVSS也上获得了9.9的评级。

不幸的是，WordPress允许任何认证用户通过parse-media-shortcode
AJAX来执行短代码，一些插件也允许未经认证的短代码执行，因此，任何登录的用户，甚至是几乎没有任何权限的用户，比如订阅者，都有可能通过发送一个参数为[php_everywhere]

研究人员发现，在WordPress网站上执行任意的PHP代码，通常可以完全接管网站。

另外两个漏洞分别被追踪为CVE-2022-24664和CVE-2022-24665。Gall解释说，这两个漏洞的CVSS评分与短码漏洞相同，但研究人员认为其严重程度稍低。

前者是订阅用户通过metabox进行远程代码执行，该漏洞与PHP
Everywhere的一个默认设置有关，该设置允许所有具有edit_posts能力的用户使用PHP Everywhere metabox。

不幸的是，这意味着不受信任的用户都可以使用PHP Everywhere metabox，创建一个帖子，然后在PHP Everywhere
metabox中添加PHP代码，预览该帖子，实现网站的任意代码执行。

第三个漏洞，订阅用户通过Gutenberg块进行远程代码执行，与PHP
Everywhere的一个默认设置有关，该设置允许所有具有edit_posts能力的用户使用PHP Everywhere Gutenberg块。

研究人员解释说："虽然可以将其设置为管理员专用，但由于<=2.0.3版本无法在不禁用Gutenberg块编辑器的情况下进行检查，所以默认情况下并没有设置。”

他说，不幸的是，这种设置意味着用户可以在网站上执行任意的PHP代码。方法也只是通过创建一个帖子，添加PHP
everywhere块并在其中添加代码，然后预览该帖子。

风险和保护措施

对于使用开源内容管理系统建立网站的开发者来说，WordPress插件一直是一个痛点，经常会有威胁到WordPress网站安全的漏洞。

上个月，研究人员发现三个WordPress插件存在同样的漏洞，可以让攻击者在网站管理员的操作下，在有漏洞的网站上更新任意的网站选项，并完全接管它。而在去年10月，一个名为Hashthemes
Demo Importer的WordPress插件则允许订阅者将网站的内容完全清除。

事实上，根据RiskBased Security的研究人员，可利用的WordPress插件漏洞数量在2021年出现了爆炸性增长，增加了三位数。

就其本身而言，Wordfence已经向受PHP
Everywhere漏洞影响的用户提供了自己的缓解措施。该公司在研究人员通知开发者的同一天，及时向其高级用户提供了修复PHP
Everywhere漏洞的防火墙规则。该公司后来将防火墙扩展到其他客户以及免费版Wordfence的用户。

根据该帖子，Wordfence还通过其Wordfence Care服务向受漏洞影响的WordPress用户提供事件响应服务。

本文翻译自：https://threatpost.com/php-everywhere-bugs-wordpress-rce/178338/如若转载，请注明原文地址。