Er zijn kritieke beveiligingsproblemen onthuld in een WordPress-plug-in die bekend staat als PHP Everywhere en die door meer dan 30.000 websites over de hele wereld wordt gebruikt en door een aanvaller kan worden misbruikt om willekeurige code op getroffen systemen uit te voeren.
PHP Overal is gebruikt om de schakelaar op PHP-code in WordPress-installaties om te zetten, zodat gebruikers op PHP gebaseerde code kunnen invoegen en uitvoeren in de Pages, Posts en Sidebar van het contentmanagementsysteem.
De drie problemen, allemaal beoordeeld met 9,9 van een maximum van 10 op het CVSS-beoordelingssysteem, hebben invloed op versies 2.0.3 en lager, en zijn als volgt:
- CVE-2022-24663 – Uitvoering van code op afstand door abonnee+ gebruikers via shortcode
- CVE-2022-24664 – Uitvoering van code op afstand door gebruikers van Contributor+ via metabox, en
- CVE-2022-24665 – Uitvoering van code op afstand door Contributor+-gebruikers via gutenbergblok
Succesvolle exploitatie van de drie kwetsbaarheden kan leiden tot de uitvoering van kwaadaardige PHP-code die kan worden gebruikt om een volledige site-overname te bewerkstelligen.
WordPress-beveiligingsbedrijf Wordfence zei het maakte de tekortkomingen bekend aan de auteur van de plug-in, Alexander Fuchs, op 4 januari, waarna updates werden uitgegeven op 12 januari 2022 met versie 3.0.0 door de kwetsbare code volledig te verwijderen.
“De update naar versie 3.0.0 van deze plug-in is een belangrijke wijziging die de . verwijdert [php_everywhere] shortcode en widget”, luidt de bijgewerkte beschrijvingspagina van de plug-in nu. “Voer de upgradewizard uit vanaf de instellingenpagina van de plug-in om uw oude code naar Gutenberg-blokken te migreren.”
Het is vermeldenswaard dat versie 3.0.0 alleen PHP-fragmenten ondersteunt via de Blok-editorwaardoor gebruikers die nog steeds vertrouwen op de Klassieke editor om de plug-in te verwijderen en een alternatieve oplossing te downloaden voor het hosten van aangepaste PHP-code.
