WordPress外掛PHP Everywhere存在3個風險值9.9的RCE漏洞

安全廠商發現WordPress外掛PHP Everywhere，存在3個風險值達9.9的遠端程式碼執行（remote code execution，RCE）漏洞，影響超過3萬個網站。在Wordfence通報後，WordPress維護單位已釋出更新版本。

PHP Everywhere是WordPress外掛程式，可讓網站持有人在網站上任何地方都能執行PHP程式碼，它有一項功能允許以WordPress簡碼（shortcode）執行PHP code snippet。PHP Everywhere開發者為Alexander Fuchs，安裝數超過3萬。

三項漏洞分別是CVE-2022-24663、CVE-2022-24664及 CVE-2022-24665。Wordfence解釋，WordPress允許任何經驗證的用戶透過parse-media-shortcode AJAX action執行簡碼，但PHP Everywhere CVE-2022-24663漏洞允許任何登入的使用者，包括Subscriber或Customer傳送包含shortcode參數的呼叫到[php_everywhere]<arbitrary PHP>[/php_everywhere]。只要能在網站上執行任意PHP，通常就能完全接管網站。

CVE-2022-24664則和PHP Everywhere允許所有具edit_posts權限的使用者（即Contributor）使用這個外掛的metabox有關。這表示Contributor層級用戶可在PHP Everywhere metabox建立貼文，在其中加入PHP程式碼，再預覽貼文以執行程式碼。

CVE-2022-24665則讓具edit_posts能力的使用者，利用PHP Everywhere Gutenberg block貼文並執行程式碼。本來可以將這功能限定在管理員，不過2.0.3版本以前為了功能檢查用途而放寬到Contributor層級用戶，使這個權限層級以上的使用者都能利用Gutenberg block貼文來開採本漏洞。

三項漏洞的CVSS 3.1風險值都高達9.9。其中又以沒有任何角色限制的CVE-2022-24663最危險。

Wordfence於今年1月初發現漏洞後即通報了開發者。後者於1月10日已發布最新的3.0.0版本。研究人員也呼籲網站管理員應儘速升級到最新版本。