Charlie Osborne er en cybersikkerhedsjournalist og fotograf, der skriver for ZDNet og CNET fra London.
Fuld biografi Udgivet i Zero Day den 10. februar 2022 | Emne: Sikkerhed
Kritiske sårbarheder ved fjernudførelse af kode (RCE) i et populært WordPress-plugin er blevet offentliggjort.
RCE-fejlene påvirker PHP Everywhere, et værktøj for webudviklere til at kunne bruge PHP-kode på sider, indlæg, sidebjælken eller hvor som helst med en Gutenberg-blok – editorblokke i WordPress – på domæner, der bruger indholdsstyringssystemet (CMS).
Pluginnet bruges på over 30.000 websteder.
Ifølge WordFence Threat Intelligence-teamet fører de tre sårbarheder i PHP Everywhere alle til fjernudførelse af kode i versioner af softwaren under 2.0.3.
Den første sårbarhed spores som CVE-2022-24663 og har fået en CVSS-score på 9,9.
WordPress tillader godkendte brugere at udføre shortcodes via parse-media-shortcode AJAX-handlingen. I dette tilfælde, hvis brugere, der er logget ind – selvom de næsten ikke har nogen tilladelser, som hvis de er abonnenter – kan en udformet anmodningsparameter sendes til at udføre vilkårlig PHP, hvilket fører til fuld overtagelse af hjemmesiden.
CVE-2022-24664, som også udstedte en alvorlighedsscore på 9,9, er den anden RCE-sårbarhed, som sikkerhedsforskerne har afsløret. Denne sårbarhed blev fundet i, hvordan PHP Everywhere administrerer metabokse – trækbare redigeringsbokse – og hvordan softwaren tillader enhver bruger med edit_posts-evnen at bruge disse funktioner.
“Ubetroede brugere på bidragyderniveau kunne bruge PHP Everywhere-metaboksen til at opnå kodeudførelse på et websted ved at oprette et indlæg, tilføje PHP-kode til PHP Everywhere-metaboksen og derefter se en forhåndsvisning af indlægget,” siger WordFence. “Selvom denne sårbarhed har samme CVSS-score som shortcode-sårbarheden, er den mindre alvorlig, da den kræver tilladelser på bidragyderniveau.”
Den tredje sårbarhed spores som CVE-2022-24665 og har også fået udstedt 9.9 på sværhedsgradsskalaen. Alle brugere med edit_posts-tilladelser kan bruge PHP Everywhere Gutenberg-blokke, og angribere kan manipulere med et websteds funktionalitet ved at udføre vilkårlig PHP-kode gennem disse funktioner.
Det var muligt at indstille denne funktion til kun administratorer, men i versioner af softwaren under 2.0.3 kunne dette ikke implementeres som standard.
WordFence afslørede sårbarhederne til udvikleren den 4. januar, som hurtigt udviklede et sæt rettelser. Den 10. januar blev en patchet version af pluginnet, v.3.0.0, rullet ud.
Udvikleren, Alexander Fuchs, siger, at opdateringen har forårsaget en “breaking change” på grund af den nødvendige fjernelse af nogle Block-editor-funktioner, og så brugere står over for problemer – som hvis de stoler på Classic Editor – skal også opgradere gammel kode til Gutenberg-blokke eller finde en anden løsning til at køre PHP.
I skrivende stund har lidt over 30 % af brugerne opgraderet, og så mange websteder kører stadig sårbare versioner af pluginnet.
Tidligere og relateret dækning
KCodes NetUSB-kernefejl ved fjernudførelse af kode påvirker millioner af enheder
CISA advarer om sårbarhed ved fjernudførelse af kode med Diskurs
Fjernudførelse af kodesårbarheder afdækket i smart air fryer
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller over på Keybase: charlie0
Security TV | Datastyring | CXO | Datacentre