按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報

:::

WordPress 外掛程式 PHP Everywhere 內含嚴重漏洞,可導致駭侵者遠端執行任意程式碼

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2022-02-14
  • 點閱次數:2728
WordPress 外掛程式 PHP Everywhere 內含嚴重漏洞,可導致駭侵者遠端執行任意程式碼 TWCERT/CC

資安廠商 Wordfence 旗下的研究人員,日前發現一個在 WordPress 中廣為使用的外掛程式 PHP Everywhere,內含三個嚴重漏洞,可導致駭侵者遠端執行任意程式碼。

PHP Everywhere 是一個相當實用的 WordPress 外掛程式,可以在網站的部落格文章與頁面的內文、邊欄、區塊編輯器中的任何區塊中插入 PHP 程式碼,以便動態顯示所需的內容。

這三個被發現的漏洞都是遠端執行任意程式碼漏洞,分述如下:

  • CVE-2022-24663:這個漏洞可讓任何 WordPress 的訂閱者,只要發送一段含有「shortcode」參數的連線要求給 PHP Everywhere,即可遠端執行任意 php 程式碼。
  • CVE-2022-24664:這個漏洞可讓 WordPress 網站擁有作者(contributor)權限的用戶,在新增的文章中插入 PHP 程式碼方塊並且預覽,以執行該程式碼。
  • CVE-2020-24665:這個漏洞可讓 WordPress 網站擁有作者(contributor)且具有編輯文章權限的用戶,利用區塊編輯器新增 PHP Everywhere 的區塊;該權限應設為僅有系統管理者可使用此功能,但並未如此設定。

這三個漏洞的危險程度評級都是最高的「嚴重」等級,CVSS 危險程度得分均高達 9.9 分(滿分為 10 分),所有 WordPress 版本,只要安裝了 PHP Everywhere 2.0.3 及先前版本,均受這三個漏洞影響。

由於此三個漏洞的嚴重性極高,所有使用該外掛程式的 WordPress 網站管理員,均需立即升級 PHP Everywhere 至最新版本(目前為 3.0.0),以免網站曝險。

  • CVE編號:CVE-2022-24663、CVE-2022-24664、CVE-2022-24665
  • 影響產品(版本):安裝有 PHP Everywhere 2.0.3 及先前版本的所有 WordPress 各版本
  • 解決方案:升級 PHP Everywhere 至 3.0.0
回頁首