PHP Everywhere破绽使三万多个WordPress网站处于RCE攻打风险中
有数以万计的WordPress网站因为其经常使用的一个插件中含无关键的破绽,从而使得网站面临着被攻打的风险。该插件可以经常使用户更繁难的在网站上经常使用PHP代码。
钻研人员发现,其中的一个破绽准许任何级别的认证用户,甚至是订阅者和客户口头代码,齐全接收装置了该插件的网站。
来自Wordfence Threat Intelligence的钻研人员在周二宣布的一篇博文中发现了PHPEverywhere中的三个关键破绽,该插件装置在超越3万个WordPress网站上。该插件的作用也恰如其名,它准许WordPress网站开发人员将PHP代码放在网站的各种组件中,包含文章页面、帖子和侧边栏等位置。
Wordfence的Ram Gall在帖子中写道:"这些破绽十分容易被应用,而且还可以被用来极速接收一个网站。”
这三个破绽重要是因为插件中的自动设置形成的,在Wordfence经过合规的披露程序通知了开发人员后,在新版的插件中,这些破绽曾经获取了修复。
Wordfence团队在1月4日向PHPEverywhere的开发者发送了电子邮件,并很快获取了回答。他随后于1月10日颁布了一个重建的插件版本,修复了一切破绽。Wordfence督促一切经常使用该插件的WordPress网站的治理者立刻装置新版本的插件。
关键性破绽
钻研人员写道,其中最风险的破绽是订阅用户可以经过短代码启动远程代码口头,该破绽与插件的配置无关,并且该破绽被追踪为CVE-2022-24663,在CVSS也上取得了9.9的评级。
可怜的是,WordPress准许任何认证用户经过parse-media-shortcodeAJAX来口头短代码,一些插件也准许未经认证的短代码口头,因此,任何登录的用户,甚至是简直没有任何权限的用户,比如订阅者,都有或者经过发送一个参数为[php_everywhere]
钻研人员发现,在WordPress网站上口头恣意的PHP代码,通常可以齐全接收网站。
另外两个破绽区分被追踪为CVE-2022-24664和CVE-2022-24665。Gall解释说,这两个破绽的CVSS评分与短码破绽相反,但钻研人员以为其严重水平稍低。
前者是订阅用户经过metabox启动远程代码口头,该破绽与PHPEverywhere的一个自动设置无关,该设置准许一切具备edit_posts才干的用户经常使用PHP Everywhere metabox。
可怜的是,这象征着不受信赖的用户都可以经常使用PHP Everywhere metabox,创立一个帖子,而后在PHP Everywheremetabox中参与PHP代码,预览该帖子,成功网站的恣意代码口头。
第三个破绽,订阅用户经过Gutenberg块启动远程代码口头,与PHPEverywhere的一个自动设置无关,该设置准许一切具备edit_posts才干的用户经常使用PHP Everywhere Gutenberg块。
钻研人员解释说:"虽然可以将其设置为治理员公用,但因为<=2.0.3版本无法在不由用Gutenberg块编辑器的状况下启动审核,所以自动状况下并没有设置。”
他说,可怜的是,这种设置象征着用户可以在网站上口头恣意的PHP代码。方法也只是经过创立一个帖子,参与PHPeverywhere块并在其中参与代码,而后预览该帖子。
风险和包全措施
关于经常使用开源内容治理系统树立网站的开发者来说,WordPress插件不时是一个痛点,经常会有要挟到WordPress网站安保的破绽。
上个月,钻研人员发现三个WordPress插件存在雷同的破绽,可以让攻打者在网站治理员的操作下,在有破绽的网站上更新恣意的网站选项,并齐全接收它。而在去年10月,一个名为HashthemesDemo Importer的WordPress插件则准许订阅者将网站的内容齐全肃清。
理想上,依据RiskBased Security的钻研人员,可应用的WordPress插件破绽数量在2021年产生了爆炸性增长,参与了三位数。
就其自身而言,Wordfence曾经向受PHPEverywhere破绽影响的用户提供了自己的缓解措施。该公司在钻研人员通知开发者的同一天,及时向其初级用户提供了修复PHPEverywhere破绽的防火墙规定。该公司起初将防火墙裁减到其余客户以及收费版Wordfence的用户。
依据该帖子,Wordfence还经过其Wordfence Care服务向受破绽影响的WordPress用户提供事情照应服务。