是一個開源的 WordPress 外掛,近日該外掛被披露存在三個嚴重的安全漏洞,該外掛已被全球超過 3 萬個網站使用,攻擊者可在受影響的網站上利用該漏洞,執行任意程式碼。
PHP Everywhere 可以隨時隨地啟用 WordPress 上的 PHP 程式碼,使使用者能夠在內容管理系統的頁面、貼文和側邊欄中插入和執行基於 PHP 的程式碼,該外掛還支援不同的使用者限制和多個 PHP 範例。
這三個漏洞在 CVSS 評級系統中都被評為 9.9 分(最高 10 分),影響了 2.0.3 及以下版本,漏洞具體細節如下:
- CVE-2022-24663 - 該漏洞允許任何經過身份驗證的使用者通過 parse-media-shortcode AJAX 操作執行簡碼(shortcode),從而進行遠端程式碼執行(網站上幾乎沒有許可權的登入使用者,也可以完全接管網站,即 WordPress 中的訂閱者)。
- CVE-2022-24664 - 通過 metabox 進行遠端程式碼執行(該漏洞需要 WordPress 貢獻者級別的許可權,因此嚴重程度較低)。
- CVE-2022-24665 - 通過 gutenberg 塊進行遠端程式碼執行(同樣需要 WordPress 貢獻者級別的許可權)
如果網站存在這三個漏洞,駭客將可以利用它們並執行惡意的 PHP 程式碼,甚至可以實現對網站的完全接管。
WordPress 安全公司 Wordfence 在 1 月 4 日就向該外掛的作者 Alexander Fuchs 了上述這些漏洞,隨後在 1 月 12 日釋出了 3.0.0 版本的更新中,已完全刪除了有漏洞的程式碼。
PHP Everywhere 的更新說明顯示:
這個外掛的 3.0.0 版本更新具有重大變化,移除了 PHP Everywhere 的簡碼和小元件。從該外掛的設定頁面執行升級嚮導,將你的舊程式碼遷移到 Gutenberg 塊。
需要注意的是,3.0.0 版本只支援通過塊編輯器(Block editor)的 PHP 程式碼片段,這使得仍然依賴經典編輯器的使用者必須解除安裝該外掛,並下載一個替代解決方案來託管自定義 PHP 程式碼。
根據 WordPress 的統計資料顯示,自修復錯誤以來,目前僅有 1.5 萬個網站更新了該外掛。