WordPress插件存在高危RCE漏洞，僅有50%網站修複PHPEverywhere是一個開源的WordPress插件

WordPress 插件存在高危 RCE 漏洞，僅有 50% 網站修複

PHP Everywhere 是一個開源的 WordPress 插件，近日該插件被披露存在三個嚴重的安全漏洞，該插件已被全球超過 3 萬個網站使用，攻擊者可在受影響的網站上利用該漏洞，執行任意代碼。

PHP Everywhere 可以随時随地啟用 WordPress 上的 PHP 代碼，使使用者能夠在内容管理系統的頁面、文章和側邊欄中插入和執行基于 PHP 的代碼，該插件還支援不同的使用者限制和多個 PHP 執行個體。

這三個漏洞在 CVSS 評級系統中都被評為 9.9 分（最高 10 分），影響了 2.0.3 及以下版本，漏洞具體細節如下：

CVE-2022-24663 - 該漏洞允許任何經過身份驗證的使用者通過 parse-media-shortcode AJAX 操作執行簡碼（shortcode），進而進行遠端代碼執行（網站上幾乎沒有權限的登入使用者，也可以完全接管網站，即 WordPress 中的訂閱者）。

CVE-2022-24664 - 通過 metabox 進行遠端代碼執行（該漏洞需要 WordPress 貢獻者級别的權限，是以嚴重程度較低）。

CVE-2022-24665 - 通過 gutenberg 塊進行遠端代碼執行（同樣需要 WordPress 貢獻者級别的權限）

如果網站存在這三個漏洞，黑客将可以利用它們并執行惡意的 PHP 代碼，甚至可以實作對網站的完全接管。

WordPress 安全公司 Wordfence 在 1 月 4 日就向該插件的作者 Alexander Fuchs 披露了上述這些漏洞，随後在 1 月 12 日釋出了 3.0.0 版本的更新中，已完全删除了有漏洞的代碼。

PHP Everywhere 的更新說明顯示：

這個插件的 3.0.0 版本更新具有重大變化，移除了 PHP Everywhere 的簡碼和小元件。從該插件的設定頁面運作更新向導，将你的舊代碼遷移到 Gutenberg 塊。

需要注意的是，3.0.0 版本隻支援通過塊編輯器（Block editor）的 PHP 代碼片段，這使得仍然依賴經典編輯器的使用者必須解除安裝該插件，并下載下傳一個替代解決方案來托管自定義 PHP 代碼。

根據 WordPress 的統計資料顯示，自修複錯誤以來，目前僅有 1.5 萬個網站更新了該插件。