首页 > 安全 > 正文

PHP中的关键RCE缺陷到处都是WordPress插件影响数千个网站

最后更新 :2022.02.24

wordpress插件php到处都受到三个关键问题的影响,可以利用受影响的系统上执行任意代码。

Wordfence专家在PHP中发现了三个关键的远程远程执行漏洞WordPress插件,所有问题收到了9.9的CVSS得分。

插件,允许WordPress管理员在页面,帖子,侧边栏或任何古腾块中插入PHP代码,以显示基于评估的PHP表达式的动态内容。

1月4日,2022年,WordFence威胁情报团队开始为HOW Atherwhere中的几个远程执行代码执行漏洞进行负责任的披露过程,安装在超过30,000个网站上的WordPress插件。其中一个漏洞允许任何级别的任何级别,甚至订阅者和客户的用户,以在安装插件上的站点上执行代码。阅读Wordfence发布的咨询。作为奢华避免具有严重严重性,我们与我们的披露联系了WordPress插件存储库,除了启动外展给插件作者。

应用程序被全球超过30,000个网站使用,攻击者可以利用这三个在受影响的系统上执行任意代码的缺陷。

以下是影响版本2.0.3及以下的三个漏洞的列表:

CVE-2022-24663

远程执行代码执行漏洞可以由任何订户利用,以将“ShortCode”参数设置为HPP到处的PHP,并在站点上执行任意PHP代码。

CVE-2022-24664 可以利用的远程执行代码执行漏洞通过Plugin的Metabox由贡献者。攻击者将创建一个帖子,添加PHP代码Metabox,然后预览它。 CVE-2022-24665 可以通过具有“edit_posts”能力的贡献者来利用的远程执行代码执行漏洞。古腾堡街区。虽然可以将其设置为admin-oply,但由于版本< \u003d 2.0.3无法在不禁用Gutenberg块编辑器

开发团队在1月份发布3.0.0版发布的缺陷。

专家指出,版本3.0.0只能通过“块编辑器,这意味着仍然依赖于&nbsp的用户;经典编辑器必须卸载插件并选择使用自定义PHP代码的另一种解决方案。

- END -

看更多