PHP Everywhere 是一個相當實用的 WordPress 外掛程式,可以在網站的部落格文章與頁面的內文、邊欄、區塊編輯器中的任何區塊中插入 PHP 程式碼,以便動態顯示所需的內容。
這三個被發現的漏洞都是遠端執行任意程式碼漏洞,分述如下:
- CVE-2022-24663:這個漏洞可讓任何 WordPress 的訂閱者,只要發送一段含有「shortcode」參數的連線要求給 PHP Everywhere,即可遠端執行任意 php 程式碼。
- CVE-2022-24664:這個漏洞可讓 WordPress 網站擁有作者(contributor)權限的用戶,在新增的文章中插入 PHP 程式碼方塊並且預覽,以執行該程式碼。
- CVE-2020-24665:這個漏洞可讓 WordPress 網站擁有作者(contributor)且具有編輯文章權限的用戶,利用區塊編輯器新增 PHP Everywhere 的區塊;該權限應設為僅有系統管理者可使用此功能,但並未如此設定。
這三個漏洞的危險程度評級都是最高的「嚴重」等級,CVSS 危險程度得分均高達 9.9 分(滿分為 10 分),所有 WordPress 版本,只要安裝了 PHP Everywhere 2.0.3 及先前版本,均受這三個漏洞影響。
由於此三個漏洞的嚴重性極高,所有使用該外掛程式的 WordPress 網站管理員,均需立即升級 PHP Everywhere 至最新版本(目前為 3.0.0),以免網站曝險。
本文轉載自TWCERT/CC。