Критичните уязвимости в сигурността са разкрити в плъгин за WordPress, известен като PHP Everywhere, който се използва от повече от 30 000 уебсайта по целия свят и може да бъде злоупотребено с него като дава възможността на нападателите да изпълняват код по свой избор в системите.
PHP Everywhere се използва за интегриране на PHP кода в WordPress, което позволява на потребителите да вмъкват и изпълняват PHP-базиран код в страниците, публикациите и страничната лента на системата за управление на съдържанието.
Трите проблема, всички с оценка 9,9 от максимум 10 в рейтинговата система CVSS, засягат версии 2.0.3 и по-стари и са както следва –
- CVE-2022-24663 – Отдалечено изпълнение на код от абонати+ потребители
- CVE-2022-24664 – Отдалечено изпълнение на код от потребители на Contributor+ чрез metabox
- CVE-2022-24665 – Отдалечено изпълнение на код от потребители на Contributor+ чрез блок Gutenberg
Успешната експлоатация на трите уязвимости може да доведе до изпълнение на злонамерен PHP код, който може да бъде използван за постигане на пълно превземане на сайта.
CERT България съветва потребителите на плъгина PHP Everywhere да изтеглят последната версия-3.0.0 от тук, която се счита вече за сигурна.
За повече информация по темата: