PHP Everywhere破绽使三万多个WordPress网站处于RCE攻打风险中

有数以万计的WordPress网站因为其经常使用的一个插件中含无关键的破绽，从而使得网站面临着被攻打的风险。该插件可以经常使用户更繁难的在网站上经常使用PHP代码。

钻研人员发现，其中的一个破绽准许任何级别的认证用户，甚至是订阅者和客户口头代码，齐全接收装置了该插件的网站。

来自Wordfence Threat Intelligence的钻研人员在周二宣布的一篇博文中发现了PHPEverywhere中的三个关键破绽，该插件装置在超越3万个WordPress网站上。该插件的作用也恰如其名，它准许WordPress网站开发人员将PHP代码放在网站的各种组件中，包含文章页面、帖子和侧边栏等位置。

Wordfence的Ram Gall在帖子中写道："这些破绽十分容易被应用，而且还可以被用来极速接收一个网站。”

这三个破绽重要是因为插件中的自动设置形成的，在Wordfence经过合规的披露程序通知了开发人员后，在新版的插件中，这些破绽曾经获取了修复。

Wordfence团队在1月4日向PHPEverywhere的开发者发送了电子邮件，并很快获取了回答。他随后于1月10日颁布了一个重建的插件版本，修复了一切破绽。Wordfence督促一切经常使用该插件的WordPress网站的治理者立刻装置新版本的插件。

关键性破绽

钻研人员写道，其中最风险的破绽是订阅用户可以经过短代码启动远程代码口头，该破绽与插件的配置无关，并且该破绽被追踪为CVE-2022-24663，在CVSS也上取得了9.9的评级。

可怜的是，WordPress准许任何认证用户经过parse-media-shortcodeAJAX来口头短代码，一些插件也准许未经认证的短代码口头，因此，任何登录的用户，甚至是简直没有任何权限的用户，比如订阅者，都有或者经过发送一个参数为[php_everywhere]

钻研人员发现，在WordPress网站上口头恣意的PHP代码，通常可以齐全接收网站。

另外两个破绽区分被追踪为CVE-2022-24664和CVE-2022-24665。Gall解释说，这两个破绽的CVSS评分与短码破绽相反，但钻研人员以为其严重水平稍低。

前者是订阅用户经过metabox启动远程代码口头，该破绽与PHPEverywhere的一个自动设置无关，该设置准许一切具备edit_posts才干的用户经常使用PHP Everywhere metabox。

可怜的是，这象征着不受信赖的用户都可以经常使用PHP Everywhere metabox，创立一个帖子，而后在PHP Everywheremetabox中参与PHP代码，预览该帖子，成功网站的恣意代码口头。

第三个破绽，订阅用户经过Gutenberg块启动远程代码口头，与PHPEverywhere的一个自动设置无关，该设置准许一切具备edit_posts才干的用户经常使用PHP Everywhere Gutenberg块。

钻研人员解释说："虽然可以将其设置为治理员公用，但因为<=2.0.3版本无法在不由用Gutenberg块编辑器的状况下启动审核，所以自动状况下并没有设置。”

他说，可怜的是，这种设置象征着用户可以在网站上口头恣意的PHP代码。方法也只是经过创立一个帖子，参与PHPeverywhere块并在其中参与代码，而后预览该帖子。

风险和包全措施

关于经常使用开源内容治理系统树立网站的开发者来说，WordPress插件不时是一个痛点，经常会有要挟到WordPress网站安保的破绽。

上个月，钻研人员发现三个WordPress插件存在雷同的破绽，可以让攻打者在网站治理员的操作下，在有破绽的网站上更新恣意的网站选项，并齐全接收它。而在去年10月，一个名为HashthemesDemo Importer的WordPress插件则准许订阅者将网站的内容齐全肃清。

理想上，依据RiskBased Security的钻研人员，可应用的WordPress插件破绽数量在2021年产生了爆炸性增长，参与了三位数。

就其自身而言，Wordfence曾经向受PHPEverywhere破绽影响的用户提供了自己的缓解措施。该公司在钻研人员通知开发者的同一天，及时向其初级用户提供了修复PHPEverywhere破绽的防火墙规定。该公司起初将防火墙裁减到其余客户以及收费版Wordfence的用户。

依据该帖子，Wordfence还经过其Wordfence Care服务向受破绽影响的WordPress用户提供事情照应服务。