有数以万计的WordPress网站由于其使用的一个插件中含有关键的漏洞,从而使得网站面临着被攻击的风险。该插件可以使用户更方便的在网站上使用PHP代码。
研究人员发现,其中的一个漏洞允许任何级别的认证用户,甚至是订阅者和客户执行代码,完全接管安装了该插件的网站。
来自Wordfence Threat Intelligence的研究人员在周二发表的一篇博文中发现了PHP Everywhere中的三个关键漏洞,该插件安装在超过3万个WordPress网站上。该插件的作用也恰如其名,它允许WordPress网站开发人员将PHP代码放在网站的各种组件中,包括文章页面、帖子和侧边栏等位置。
Wordfence的Ram Gall在帖子中写道:"这些漏洞非常容易被利用,而且还可以被用来快速接管一个网站。”
这三个漏洞主要是由于插件中的默认设置造成的,在Wordfence通过合规的披露程序通知了开发人员后,在新版的插件中,这些漏洞已经得到了修复。
Wordfence团队在1月4日向PHP Everywhere的开发者发送了电子邮件,并很快得到了答复。他随后于1月10日发布了一个重建的插件版本,修复了所有漏洞。Wordfence敦促所有使用该插件的WordPress网站的管理者立即安装新版本的插件。
关键性漏洞
研究人员写道,其中最危险的漏洞是订阅用户可以通过短代码进行远程代码执行,该漏洞与插件的功能有关,并且该漏洞被追踪为CVE-2022-24663,在CVSS也上获得了9.9的评级。
不幸的是,WordPress允许任何认证用户通过parse-media-shortcode AJAX来执行短代码,一些插件也允许未经认证的短代码执行,因此,任何登录的用户,甚至是几乎没有任何权限的用户,比如订阅者,都有可能通过发送一个参数为[php_everywhere]
研究人员发现,在WordPress网站上执行任意的PHP代码,通常可以完全接管网站。
另外两个漏洞分别被追踪为CVE-2022-24664和CVE-2022-24665。Gall解释说,这两个漏洞的CVSS评分与短码漏洞相同,但研究人员认为其严重程度稍低。
前者是订阅用户通过metabox进行远程代码执行,该漏洞与PHP Everywhere的一个默认设置有关,该设置允许所有具有edit_posts能力的用户使用PHP Everywhere metabox。
不幸的是,这意味着不受信任的用户都可以使用PHP Everywhere metabox,创建一个帖子,然后在PHP Everywhere metabox中添加PHP代码,预览该帖子,实现网站的任意代码执行。
第三个漏洞,订阅用户通过Gutenberg块进行远程代码执行,与PHP Everywhere的一个默认设置有关,该设置允许所有具有edit_posts能力的用户使用PHP Everywhere Gutenberg块。
研究人员解释说:"虽然可以将其设置为管理员专用,但由于<=2.0.3版本无法在不禁用Gutenberg块编辑器的情况下进行检查,所以默认情况下并没有设置。”
他说,不幸的是,这种设置意味着用户可以在网站上执行任意的PHP代码。方法也只是通过创建一个帖子,添加PHP everywhere块并在其中添加代码,然后预览该帖子。
风险和保护措施
对于使用开源内容管理系统建立网站的开发者来说,WordPress插件一直是一个痛点,经常会有威胁到WordPress网站安全的漏洞。
上个月,研究人员发现三个WordPress插件存在同样的漏洞,可以让攻击者在网站管理员的操作下,在有漏洞的网站上更新任意的网站选项,并完全接管它。而在去年10月,一个名为Hashthemes Demo Importer的WordPress插件则允许订阅者将网站的内容完全清除。
事实上,根据RiskBased Security的研究人员,可利用的WordPress插件漏洞数量在2021年出现了爆炸性增长,增加了三位数。
就其本身而言,Wordfence已经向受PHP Everywhere漏洞影响的用户提供了自己的缓解措施。该公司在研究人员通知开发者的同一天,及时向其高级用户提供了修复PHP Everywhere漏洞的防火墙规则。该公司后来将防火墙扩展到其他客户以及免费版Wordfence的用户。
根据该帖子,Wordfence还通过其Wordfence Care服务向受漏洞影响的WordPress用户提供事件响应服务。
本文翻译自:https://threatpost.com/php-everywhere-bugs-wordpress-rce/178338/如若转载,请注明原文地址。
原文地址:https://www.4hou.com/posts/GWJJ
