Os pesquisadores encontraram três vulnerabilidades críticas de execução remota de código (RCE) no plug-in ‘PHP Everywhere’ para WordPress, usado por mais de 30.000 sites em todo o mundo.
PHP Everywhere é um plugin que permite aos administradores do WordPress inserir código PHP em páginas, posts, barra lateral ou qualquer bloco Gutenberg e usá-lo para exibir conteúdo dinâmico baseado em expressões PHP avaliadas.
Três falhas RCE
As três vulnerabilidades foram descobertas por analistas de segurança do Wordfence e podem ser exploradas por contribuidores ou assinantes, afetando todas as versões do WordPress de 2.0.3 e anteriores.
Aqui está uma breve descrição das falhas:
– CVE-2022-24663 – Falha de execução remota de código explorável por qualquer assinante, permitindo que eles enviem uma solicitação com o parâmetro ‘shortcode’ definido para PHP Everywhere e executem código PHP arbitrário no site. (Pontuação CVSS v3: 9,9)
– CVE-2022-24664 – vulnerabilidade RCE explorável por contribuidores por meio da metabox do plug-in. Um invasor criaria uma postagem, adicionaria uma metabox de código PHP e a visualizaria. (Pontuação CVSS v3: 9,9)
– CVE-2022-24665 – Falha RCE explorável por contribuidores que têm o recurso ‘edit_posts’ e podem adicionar blocos PHP Everywhere Gutenberg. A configuração de segurança padrão em versões de plugins vulneráveis não é ‘somente administrador’ como deveria ser. (Pontuação CVSS v3: 9,9)
Embora as duas últimas falhas não sejam facilmente exploráveis, pois exigem permissões no nível do colaborador, a primeira vulnerabilidade é muito mais aberta a uma exploração mais ampla, pois pode ser explorada apenas como assinante do site.
Por exemplo, um cliente logado em um site é considerado um ‘assinante’, portanto, apenas se registrar na plataforma de destino seria suficiente para obter privilégios suficientes para a execução de código PHP malicioso.
Em todos os casos, a execução de código arbitrário em um site pode levar ao controle completo do site, que é o pior cenário possível na segurança do site.
Correção apenas para o editor de blocos
A equipe do Wordfence descobriu as vulnerabilidades em 4 de janeiro de 2022 e informou o autor do PHP Everywhere sobre suas descobertas.
O fornecedor lançou uma atualização de segurança em 10 de janeiro de 2022, com a versão 3.0.0, que sofreu um grande aumento no número da versão porque exigia uma reescrita substancial do código.
Embora os desenvolvedores tenham corrigido a atualização no mês passado, não é incomum que os administradores não atualizem regularmente seu site e plugins do WordPress. De acordo com as estatísticas de download no WordPress.org, apenas 15.000 instalações de 30.000 atualizaram o plugin desde que os bugs foram corrigidos.
Portanto, devido à gravidade dessas vulnerabilidades, todos os usuários do PHP Everywhere são fortemente aconselhados a garantir que tenham atualizado para o PHP Everywhere versão 3.0.0, que é a mais recente disponível no momento .
Observe que, se você estiver usando o Editor Clássico em seu site, precisará desinstalar o plug-in e encontrar outra solução para hospedar código PHP personalizado em seus componentes.
Isso ocorre porque a versão 3.0.0 suporta apenas trechos de PHP por meio do editor Block, e é improvável que o autor trabalhe na restauração da funcionalidade para o Sun-setting Classic.
