PHP Everywhere 插件中存在严重RCE，影响数千个 WordPress 站点

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

WordPress 插件 “PHP Everywhere” 中存在多个严重漏洞，可导致攻击者在受影响系统上执行任意代码。该插件用于全球3万多个网站上。

PHP Everywhere 用于转换 WordPress 安装程序上的PHP代码开关，使用户能够在内容管理系统的 Pages、Posts 和 Sidebar 中插入并执行基于PHP的代码。这三个漏洞的评分均为9.9 分，影响2.0.3及后续版本，它们是CVE-2022-24663、CVE-2022-24664和CVE-2022-24665。

成功利用这三个漏洞可导致攻击者执行恶意 PHP 代码，从而完全接管站点。

WordPress 所属公司 Wordfence 表示已在1月4日将问题告知该插件的作者 Alexander Fuchs，后者在1月12日发布新版本 3.0.0，完全删除了易受攻击代码。

该插件的更新说明页面指出，“该插件版本 3.0.0的更新做出重大变更，删除了 [php_everywhere] 短代码和小部件。运行插件设置页面的升级程序，将老旧代码迁移至 Gutenberg 块。”

值得注意的是，版本 3.0.0仅通过 Block 编辑器支持 PHP代码片段，仍然依赖于 Classic 编辑器的用户应卸载该插件并下载托管自定义PHP代码的其它解决方案。

---

推荐阅读

黑客在数十个 WordPress 插件和主题中插入秘密后门，可发动供应链攻击

30万美元：Zerodium 出3倍价格求 WordPress RCE exploit

2019年最吸引攻击炮火的 Web 框架：WordPress 和 Apache Struts

这两款付费扩展有严重缺陷，任何人可轻松黑掉 WordPress 站点

两年后，WordPress 开源插件 Jetpack 中的严重漏洞终修复

原文链接

https://thehackernews.com/2022/02/critical-rce-flaws-in-php-everywhere.html

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~

原文始发于微信公众号（代码卫士）：PHP Everywhere 插件中存在严重RCE，影响数千个 WordPress 站点