聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

WordPress 插件 “PHP Everywhere” 中存在多个严重漏洞,可导致攻击者在受影响系统上执行任意代码。该插件用于全球3万多个网站上。

PHP Everywhere 用于转换 WordPress 安装程序上的PHP代码开关,使用户能够在内容管理系统的 Pages、Posts 和 Sidebar 中插入并执行基于PHP的代码。这三个漏洞的评分均为9.9 分,影响2.0.3及后续版本,它们是CVE-2022-24663、CVE-2022-24664和CVE-2022-24665。

成功利用这三个漏洞可导致攻击者执行恶意 PHP 代码,从而完全接管站点。

WordPress 所属公司 Wordfence 表示已在1月4日将问题告知该插件的作者 Alexander Fuchs,后者在1月12日发布新版本 3.0.0,完全删除了易受攻击代码。

该插件的更新说明页面指出,“该插件版本 3.0.0的更新做出重大变更,删除了 [php_everywhere] 短代码和小部件。运行插件设置页面的升级程序,将老旧代码迁移至 Gutenberg 块。”

值得注意的是,版本 3.0.0仅通过 Block 编辑器支持 PHP代码片段,仍然依赖于 Classic 编辑器的用户应卸载该插件并下载托管自定义PHP代码的其它解决方案。

推荐阅读

黑客在数十个 WordPress 插件和主题中插入秘密后门,可发动供应链攻击

30万美元:Zerodium 出3倍价格求 WordPress RCE exploit

2019年最吸引攻击炮火的 Web 框架:WordPress 和 Apache Struts

这两款付费扩展有严重缺陷,任何人可轻松黑掉 WordPress 站点

两年后,WordPress 开源插件 Jetpack 中的严重漏洞终修复

原文链接

https://thehackernews.com/2022/02/critical-rce-flaws-in-php-everywhere.html

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

 觉得不错,就点个 “在看” 或 "赞” 吧~

PHP Everywhere 插件中存在严重RCE,影响数千个 WordPress 站点相关推荐

  1. 银行木马卷土重来、开发者破坏开源库影响数千应用程序|1月10日全球网络安全热点

    安全资讯报告 银行木马Flubot Android恶意软件卷土重来 FluBot是一种适用于Android的银行恶意软件,它通过向全球多家银行提供覆盖登录表单来窃取密码.新的攻击假冒Adobe应用程序 ...

  2. SQLite 被曝存在漏洞,数千应用受影响

    SQLite 被曝存在一个影响数千应用的漏洞,受害应用包括所有基于 Chromium 的浏览器. 据 ZDNet 报导,该漏洞由腾讯 Blade 安全团队发现,允许攻击者在受害者的计算机上运行恶意代码 ...

  3. VMware 修复 View Planner中的严重RCE 漏洞

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 VMware 公司修复了 View Planner 中的一个高危未认证 RCE 漏洞,它本可导致攻击者滥用运行未修复软件的服务器执行远 ...

  4. CVE-2021-2429:MySQL InnoDB Memcached 插件中的堆缓冲区溢出漏洞详解

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 2021年4月,ZDI 收到了一名匿名者提供的关于MySQL 数据库中某漏洞的报告,结果是位于 InnoDB memcached 插件中的基于堆 ...

  5. RCE 0day影响数万台QNAP SOHO NAS 设备

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 SAM Seamless Network 公司的研究员警告称,QNAP SOHO 网络存储设备中被曝两个0day,可导致攻击者远程执行 ...

  6. 新的 OpenWrt RCE 漏洞曝光,影响数百万台网络设备

    执行摘要 随着物联网的不断发展,物联网安全也越来越受到关注.自 2016 年下半年的 Mirai 僵尸网络攻击 事件之后,物联网相关的威胁层出不穷,多个在野漏洞被攻击者所利用,多个僵尸网络相继被研究人 ...

  7. Zed-Unity插件中代码注释——ZEDManager.cs

    文章目录 Zed Unity 插件中的代码注释 引言 ZEDManager.cs Zed Unity 插件中的代码注释 引言 Zed真是一个精品商品,提供的api的解释真的很齐全. 代码的可读性很高. ...

  8. ATS 6.2.1打release版本rpm包时插件中出现undefined symbol的问题追踪

    问题场景 我基于ATS 6.2.1社区版整合进一些插件,发现debug版本一直运行好好的,后来改为release版本(就是configure时不加--enable_debug)时,安装后显示下面的出错 ...

  9. ATS插件中配置文件自动更新思路

    在ATS插件开发过程中,我们经常会需要如下业务需求: 某个插件的配置文件更新了,我们需要让新的配置文件生效,但是我们不想重启ATS.因为作为CDN行业的缓存服务器来说,很大部分缓存是直接使用内存存放的 ...

最新文章

  1. Java 的序列化和反序列化,你该知道得更多
  2. android 设置控件的透明度
  3. 【五线谱】五线谱的常用符号 ( 花连谱号 | 高音谱号 | 低音谱号 | 休止符 | 小节线 )
  4. ruby hash方法_Ruby中带有示例的Hash.invert方法
  5. 笨办法学C 练习43:一个简单的统计引擎
  6. 《面向对象分析与设计》一1.4面向对象方法的主要优点
  7. 【POJ 3057】Evacuation【最大流+二分】
  8. 移动U盘数据恢复,移动U盘数据恢复方法
  9. 计算机dll修复工具,百度dll修复工具(百度电脑专家)
  10. 解析纯真ip数据库php源码, 纯真数据库IP地理位置查询类
  11. PHP的CI框架接入redis
  12. 工作之RF功能开发入门
  13. 知识共享平台开发-BUG[2014-11-27]
  14. 深度清理mac磁盘空间的方法,方方面面都清理干净
  15. 微信小程序ssm电影院购票+后台管理系统|前后分离VUE
  16. 计算机语言的魅力,四年级语文下册《语言的魅力》说课稿
  17. linux密码是什么加密方式,Linux系统的几种加密
  18. 计算机两种通信方式-----串行通信和并行通信
  19. java p2p开发项目实战(完整)
  20. python爬取淘宝天猫评论(通过cookie)

热门文章

  1. iOS 9.0 设置状态栏颜色 和隐藏
  2. jboss7体验及配置入门
  3. 通信原理实践(一)——音频信号处理
  4. Android设备新型恶意软件,融合银行木马、键盘记录器和移动勒索软件等功能
  5. spring boot + swagger2
  6. TypeScript极速完全进阶指南-2中级篇
  7. Webpack入门——使用Webpack打包Angular项目的一个例子
  8. JAVA classpath jar问题[zz]
  9. Ubuntu安装Chromium
  10. Java学习系列(十四)Java面向对象之细谈线程、线程通信(上)