Специалисты Wordfence обнаружили 3 критических уязвимости в плагине PHP Everywhere, который помогает администраторам сайтов на WordPress внедрять PHP-код на страницы, посты, боковую панель или любой блок Gutenberg.
Как сообщает Хакер, все ошибки могут использоваться для удаленного выполнения кода на сайтах, причем в одном случае сделать это могут простые подписчики:
- Уязвимость CVE-2022-24663 позволяет пользователю (даже с низкими привилегиями) отправлять плагину запрос с параметром shortcode и выполнять произвольный код PHP на сайте.
- Уязвимость CVE-2022-24664 разрешает участникам добавлять посты с использованием метабокса PHP Everywhere.
- Уязвимость CVE-2022-24665 связана с возможностью использовать блоки Gutenberg в PHP Everywhere.
Данный плагин применяют 30 тысяч сайтов, а найденные ошибки эксперты оценили в 9,9 баллов из 10 возможных по шкале уязвимостей CVSS. В Wordfence рекомендуют обновить плагин PHP Everywhere до последней исправленной версии 3.0.0.
Комментарии