PHP Everywhere 插件中存在严重RCE,影响数千个 WordPress 站点
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
WordPress 插件 “PHP Everywhere” 中存在多个严重漏洞,可导致攻击者在受影响系统上执行任意代码。该插件用于全球3万多个网站上。
PHP Everywhere 用于转换 WordPress 安装程序上的PHP代码开关,使用户能够在内容管理系统的 Pages、Posts 和 Sidebar 中插入并执行基于PHP的代码。这三个漏洞的评分均为9.9 分,影响2.0.3及后续版本,它们是CVE-2022-24663、CVE-2022-24664和CVE-2022-24665。
成功利用这三个漏洞可导致攻击者执行恶意 PHP 代码,从而完全接管站点。
WordPress 所属公司 Wordfence 表示已在1月4日将问题告知该插件的作者 Alexander Fuchs,后者在1月12日发布新版本 3.0.0,完全删除了易受攻击代码。
该插件的更新说明页面指出,“该插件版本 3.0.0的更新做出重大变更,删除了 [php_everywhere] 短代码和小部件。运行插件设置页面的升级程序,将老旧代码迁移至 Gutenberg 块。”
值得注意的是,版本 3.0.0仅通过 Block 编辑器支持 PHP代码片段,仍然依赖于 Classic 编辑器的用户应卸载该插件并下载托管自定义PHP代码的其它解决方案。
推荐阅读
黑客在数十个 WordPress 插件和主题中插入秘密后门,可发动供应链攻击
30万美元:Zerodium 出3倍价格求 WordPress RCE exploit
2019年最吸引攻击炮火的 Web 框架:WordPress 和 Apache Struts
这两款付费扩展有严重缺陷,任何人可轻松黑掉 WordPress 站点
两年后,WordPress 开源插件 Jetpack 中的严重漏洞终修复
原文链接
https://thehackernews.com/2022/02/critical-rce-flaws-in-php-everywhere.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
PHP Everywhere 插件中存在严重RCE,影响数千个 WordPress 站点相关推荐
- 银行木马卷土重来、开发者破坏开源库影响数千应用程序|1月10日全球网络安全热点
安全资讯报告 银行木马Flubot Android恶意软件卷土重来 FluBot是一种适用于Android的银行恶意软件,它通过向全球多家银行提供覆盖登录表单来窃取密码.新的攻击假冒Adobe应用程序 ...
- SQLite 被曝存在漏洞,数千应用受影响
SQLite 被曝存在一个影响数千应用的漏洞,受害应用包括所有基于 Chromium 的浏览器. 据 ZDNet 报导,该漏洞由腾讯 Blade 安全团队发现,允许攻击者在受害者的计算机上运行恶意代码 ...
- VMware 修复 View Planner中的严重RCE 漏洞
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 VMware 公司修复了 View Planner 中的一个高危未认证 RCE 漏洞,它本可导致攻击者滥用运行未修复软件的服务器执行远 ...
- CVE-2021-2429:MySQL InnoDB Memcached 插件中的堆缓冲区溢出漏洞详解
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 2021年4月,ZDI 收到了一名匿名者提供的关于MySQL 数据库中某漏洞的报告,结果是位于 InnoDB memcached 插件中的基于堆 ...
- RCE 0day影响数万台QNAP SOHO NAS 设备
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 SAM Seamless Network 公司的研究员警告称,QNAP SOHO 网络存储设备中被曝两个0day,可导致攻击者远程执行 ...
- 新的 OpenWrt RCE 漏洞曝光,影响数百万台网络设备
执行摘要 随着物联网的不断发展,物联网安全也越来越受到关注.自 2016 年下半年的 Mirai 僵尸网络攻击 事件之后,物联网相关的威胁层出不穷,多个在野漏洞被攻击者所利用,多个僵尸网络相继被研究人 ...
- Zed-Unity插件中代码注释——ZEDManager.cs
文章目录 Zed Unity 插件中的代码注释 引言 ZEDManager.cs Zed Unity 插件中的代码注释 引言 Zed真是一个精品商品,提供的api的解释真的很齐全. 代码的可读性很高. ...
- ATS 6.2.1打release版本rpm包时插件中出现undefined symbol的问题追踪
问题场景 我基于ATS 6.2.1社区版整合进一些插件,发现debug版本一直运行好好的,后来改为release版本(就是configure时不加--enable_debug)时,安装后显示下面的出错 ...
- ATS插件中配置文件自动更新思路
在ATS插件开发过程中,我们经常会需要如下业务需求: 某个插件的配置文件更新了,我们需要让新的配置文件生效,但是我们不想重启ATS.因为作为CDN行业的缓存服务器来说,很大部分缓存是直接使用内存存放的 ...
最新文章
- Java 的序列化和反序列化,你该知道得更多
- android 设置控件的透明度
- 【五线谱】五线谱的常用符号 ( 花连谱号 | 高音谱号 | 低音谱号 | 休止符 | 小节线 )
- ruby hash方法_Ruby中带有示例的Hash.invert方法
- 笨办法学C 练习43:一个简单的统计引擎
- 《面向对象分析与设计》一1.4面向对象方法的主要优点
- 【POJ 3057】Evacuation【最大流+二分】
- 移动U盘数据恢复,移动U盘数据恢复方法
- 计算机dll修复工具,百度dll修复工具(百度电脑专家)
- 解析纯真ip数据库php源码, 纯真数据库IP地理位置查询类
- PHP的CI框架接入redis
- 工作之RF功能开发入门
- 知识共享平台开发-BUG[2014-11-27]
- 深度清理mac磁盘空间的方法,方方面面都清理干净
- 微信小程序ssm电影院购票+后台管理系统|前后分离VUE
- 计算机语言的魅力,四年级语文下册《语言的魅力》说课稿
- linux密码是什么加密方式,Linux系统的几种加密
- 计算机两种通信方式-----串行通信和并行通信
- java p2p开发项目实战(完整)
- python爬取淘宝天猫评论(通过cookie)