其他
PHP Everywhere 插件中存在严重RCE,影响数千个 WordPress 站点
编译:代码卫士
PHP Everywhere 用于转换 WordPress 安装程序上的PHP代码开关,使用户能够在内容管理系统的 Pages、Posts 和 Sidebar 中插入并执行基于PHP的代码。这三个漏洞的评分均为9.9 分,影响2.0.3及后续版本,它们是CVE-2022-24663、CVE-2022-24664和CVE-2022-24665。
成功利用这三个漏洞可导致攻击者执行恶意 PHP 代码,从而完全接管站点。
WordPress 所属公司 Wordfence 表示已在1月4日将问题告知该插件的作者 Alexander Fuchs,后者在1月12日发布新版本 3.0.0,完全删除了易受攻击代码。
该插件的更新说明页面指出,“该插件版本 3.0.0的更新做出重大变更,删除了 [php_everywhere] 短代码和小部件。运行插件设置页面的升级程序,将老旧代码迁移至 Gutenberg 块。”
值得注意的是,版本 3.0.0仅通过 Block 编辑器支持 PHP代码片段,仍然依赖于 Classic 编辑器的用户应卸载该插件并下载托管自定义PHP代码的其它解决方案。
30万美元:Zerodium 出3倍价格求 WordPress RCE exploit
2019年最吸引攻击炮火的 Web 框架:WordPress 和 Apache Struts
这两款付费扩展有严重缺陷,任何人可轻松黑掉 WordPress 站点
两年后,WordPress 开源插件 Jetpack 中的严重漏洞终修复
https://thehackernews.com/2022/02/critical-rce-flaws-in-php-everywhere.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。