Skip to content
WONGCW 網誌
  • 首頁
  • 論壇
  • 微博
  • 壁紙下載
  • 免費圖床
  • 視頻下載
  • 聊天室
  • SEO工具
  • 支援中心
  • 表格製作
  • More
    • 在線名片
    • 網頁搜索
    • 天氣預報
    • 二維碼生成器
    • WordPress 插件及主題下載
  • Search Icon

WONGCW 網誌

記錄生活經驗與點滴

WordPress上的PHP Everywhere插件曝出三個高危RCE漏洞

WordPress上的PHP Everywhere插件曝出三個高危RCE漏洞

2022-02-12 Comments 0 Comment

Bleeping Computer 報導稱:安全研究人員在WordPress 的“PHP Everywhere”插件中發現了三個嚴重的遠程代碼執行(RCE)漏洞,導致全球超過3 萬個使用該插件的網站都受到了影響。據悉,該插件旨在方便管理員在頁面、帖子、側邊欄、或任何Gutenberg 塊中插入PHP 代碼,並藉此來顯示基於評估的PHP 表達式的動態內容。

Wordfence 安全分析師指出,CVSS v3 評分高達9.9 的這三個漏洞,可被貢獻著或訂閱者所利用,且波及2.0.3 及以下的所有WordPress 版本。

首先是CVE-2022-24663:

只需發送帶有’短代碼’參數設置的PHP Everywhere 請求,任何訂閱者都可利用該RCE 漏洞,並在站點上執行任何PHP 代碼。

其次是CVE-2022-24664:

貢獻者可藉助插件的元框來利用該RCE 漏洞,前提是創建一則帖子,添加一個PHP 代碼元框,然後進行預覽。

然後是CVE-2022-24665:

具有edit_posts 權限、並可添加PHP Everywhere Gutenberg 塊的貢獻者們,都可利用該RCE 漏洞。

在易受攻擊的插件版本中,PHP Everywhere 並未默認指定’僅管理員權限’可用的安全設置,結果留下了這一隱患。

儘管後兩個漏洞因需要貢獻者的權限級別而不那麼容易被利用,但首個漏洞還是讓業界感到驚詫不已。

舉個例子,只要某個用戶在網站上以’訂閱者’的身份登錄,便足以獲得相應的權限來執行惡意PHP 代碼。

不論怎樣,可在網站上執行任意代碼,都可能導致整個站點被攻擊者所接管—— 這也是所有網站安全事故中最糟糕的一種情況。

截圖(來自:Wordfence)

在2022 年1 月4 日發現了上述漏洞字後,Wordfence 團隊很快就向PHP Everywhere 作者通報了此事。

廠商於2022 年1 月10 日發布了3.0.0 版安全更新,由於需要大量重寫代碼,所以版本號也發生了重大改變。

尷尬的是,儘管開發者行動迅速,但網站管理員普遍不怎麼會定期更新其WordPress 網站和插件。

由WordPress.org 分享的統計數據可知,自Bug 修復方案推出以來,3 萬次安裝中只有1.5 萬次更新了插件。

有鑑於此,考慮到三個RCE 漏洞的嚴重性,我們在此強烈建議所有PHP Everywhere 用戶確保其已升級到最新可用的3.0.0 版本。

需要注意的是,如果你在站點上使用了經典編輯器,則需要先卸載該插件、並找到替代解決方案,以在其組件上託管自定義的PHP 代碼。

因為PHP Everywhere 的3.0.0 版本僅支持基於Block 編輯器的PHP 片段,且作者不大可能致力於恢復落後的Classic 功能。

分享此文:

  • 分享到 Twitter(在新視窗中開啟)
  • 按一下以分享至 Facebook(在新視窗中開啟)
  • 分享到 WhatsApp(在新視窗中開啟)
  • 按一下以分享到 Telegram(在新視窗中開啟)
  • 分享到 Pinterest(在新視窗中開啟)
  • 分享到 Reddit(在新視窗中開啟)
  • 按一下即可分享至 Skype(在新視窗中開啟)
  • 按一下即可以電子郵件傳送連結給朋友(在新視窗中開啟)
  • 點這裡列印(在新視窗中開啟)

相關


WordPress資訊

Post navigation

PREVIOUS
Windows 11或很快迎來開始菜單、手勢、Snap Bar新體驗
NEXT
万科董事長自曝訂機票不買頭等艙:出行航班也都選最便宜的

發表迴響 取消回覆

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料。

More results...

Generic filters
Exact matches only
Search in title
Search in content
Search in excerpt
Filter by 分類
網站公告
Featured
限時免費
ESET NOD32
WINDOWS 10 &11 INSIDER PREVIEW
Windows 軟件下載
系統軟件
辦公軟件
圖像處理
影音媒體
網絡軟件
應用軟件
Mac 軟件下載
安卓軟件下載
網絡資訊
Mac資訊
Linux資訊
VPS資訊
NASA資訊
金融資訊
WhatsApp Stickers教學
WordPress資訊
WeChat資訊
PHP資訊
Plesk資訊
TensorFlow
教學資源
開源程序
網頁工具
SEO工具
醫療健康
旅遊及消閒
其他資訊
Content from
Content to
2022 年 2 月
一 二 三 四 五 六 日
 123456
78910111213
14151617181920
21222324252627
28  
« 1 月   3 月 »

分類

  • 網站公告
  • 限時免費
  • ESET NOD32
  • WINDOWS 10 &11 INSIDER PREVIEW
  • Windows 軟件下載
  • 系統軟件
  • 辦公軟件
  • 圖像處理
  • 影音媒體
  • 網絡軟件
  • 應用軟件
  • Mac 軟件下載
  • 安卓軟件下載
  • 網絡資訊
  • Mac資訊
  • Linux資訊
  • VPS資訊
  • NASA資訊
  • WhatsApp Stickers教學
  • WordPress資訊
  • WeChat資訊
  • PHP資訊
  • Plesk資訊
  • TensorFlow
  • 教學資源
  • 開源程序
  • 網頁工具
  • SEO工具
  • 醫療健康
  • 旅遊及消閒
  • 其他資訊

彙整

近期文章

  • 地表最快、世界首套中國時速600公里的磁懸浮列車有多炫酷? 2023-05-31
  • 賈躍亭3條視頻抖音收穫75萬粉絲:IP地址顯示仍在美國自稱“YT” 2023-05-31
  • 賈躍亭9年造車夢圓FF91量產車交付:售價220萬元 2023-05-31
  • 揭秘美國女子監獄:矽谷滴血驗癌大騙子就在這裡服刑 2023-05-31
  • 遺傳學研究揭示了一蘇格蘭婦女無法感知疼痛且傷口癒合更快的原因 2023-05-31
  • 研究發現飲食習慣可以直接影響我們的睡眠質量 2023-05-31
  • 天文學家發現太陽系外首個輻射帶比木星的輻射帶亮1000萬倍 2023-05-31
  • 韋伯太空望遠鏡探測到從土衛二噴射出的6000英里高的水柱 2023-05-31
  • 美國PC市場可能已經觸底預計第四季度將出現復甦 2023-05-31
  • Kindle官方公告將在一個月後關停國內電子書店 2023-05-31

熱門文章與頁面︰

  • 打車叫到特斯拉不會開門很尷尬?官方介紹開關門方法
  • Explorer Patcher:讓Windows 11恢復Windows 10的行為特徵
  • ESET NOD32 LICENSE KEY (UPDATED 2023-01-17)
  • DP vs HDMI 誰才是遊戲玩家最佳選擇?
  • 下載WINDOWS10 登入畫面的圖片 (WINDOWS焦點)
  • NVIDIA H100 Hopper加速計算卡上市:配備80GB顯存價格超24萬元
  • Windows 10玩遊戲死機重置顯卡驅動的秘籍你知道嗎?
  • REG007 – 你註冊過哪些網站?一搜便知
  • NVIDIA黃仁勳喜提“工程界奧斯卡獎”:分享妻子照片、感謝AMD
  • 日本進行新實驗有望用於輸送太空太陽能到地球

投遞稿件

歡迎各界人士投遞稿件到admin@wongcw.com

請提供以下資料:

1.你的名字

2.你的電郵

3.分類目錄

4.文章標題

5.文章摘要

6.文章內容

7.文章來源

 

聯繫我們

查詢,投稿,商務合作:
​admin@wongcw.com
​技術支援:
​support@wongcw.com
​客户服務:
​cs@wongcw.com

QQ群:833641851

快帆

MALUS

極度掃描

DMCA.com Protection Status

WONGCW 網誌

  • 免責聲明
  • 捐助我們
  • ThemeNcode PDF Viewer
  • ThemeNcode PDF Viewer SC
  • Events

服務器提供

本站使用之服務器由ikoula提供。

聯繫我們

查詢,投稿,商務合作:
​admin@wongcw.com
​技術支援:
​support@wongcw.com
​客户服務:
​cs@wongcw.com

QQ群:833641851

© 2023   All Rights Reserved.