“PHP Everywhere”插件中的关键RCE缺陷影响了数千个WordPress网站

被称为PHP Everywhere的WordPress插件中暴露了严重的安全漏洞。全球有3万多个网站使用该插件，攻击者可能会利用该插件在受影响的系统上执行任意代码。

PHP Everywhere用于在WordPress安装中切换PHP代码，使用户能够在内容管理系统的页面、帖子和侧栏中插入和执行基于PHP的代码。

这三个问题，在CVSS评级系统上最多10个问题中，都被评为9.9，影响版本2.0.3及以下，如下所示-

• CVE-2022-24663-订户+用户通过短码远程执行代码
• CVE-2022-24664-参与者+用户通过metabox远程执行代码，以及
• -参与者+用户通过gutenberg block远程执行代码

成功利用这三个漏洞可能会导致执行恶意PHP代码，从而实现完整的网站接管。

WordPress安全公司Wordfence表示，它于1月4日向该插件的作者亚历山大·福斯（Alexander Fuchs）披露了这些缺陷，随后于2022年1月12日发布了3.0.0版的更新，完全删除了易受攻击的代码。

“该插件3.0.0版的更新是一个突破性的改变，删除了[php_everywhere]短代码和小部件，”插件的更新描述页面现在显示。“从插件的设置页面运行升级向导，将旧代码迁移到Gutenberg块。”

值得注意的是，3.0.0版仅通过块编辑器支持PHP代码片段，因此仍依赖经典编辑器的用户必须卸载插件并下载托管自定义PHP代码的替代解决方案。