Plug-in-urile WordPress sunt o problemă constantă pentru dezvoltatorii de site-uri create folosind sistemul open-source, incluzând adesea vulnerabilități care amenință securitatea site-urilor WordPress.
Recent, cercetătorii au descoperit trei pluginuri WordPress cu aceeași vulnerabilitate care ar putea permite unui atacator, prin accesarea administratorului site-ului, să actualizeze opțiunile arbitrare ale site-ului pe un site vulnerabil și să-l preia complet. Și în octombrie anul trecut, un plugin WordPress numit Hashthemes Demo Importer a permis abonaților să ștergă site-urile complet de conținut.
Cercetătorii de la Wordfence Threat Intelligence au descoperit trei vulnerabilități critice în PHP Everywhere, un plug-in instalat pe peste 30.000 de site-uri WordPress. Pluginul face exact ceea ce sugerează numele său, permițând dezvoltatorilor de site-uri WordPress să pună cod PHP în diferite componente ale unui site, inclusiv pagini, postări și bare laterale.
Cele trei vulnerabilități s-au datorat setărilor implicite ale plug-in-ului, care au fost remediate de către dezvoltatorul plug-in-ului, Alexander Fuchs, după ce Wordfence l-a notificat, acesta lansând o noua versiune care elimina vulnerabilitățile.
Vulnerabilități critice
Cea mai periculoasă dintre defecte, „Executarea codului de la distanță de către utilizatorii Abonați+ prin cod scurt” și urmărită ca CVE-2022-24663, este asociată cu includerea în plug-in a funcționalității care permite executarea fragmentelor de cod PHP prin intermediul codurilor scurte WordPress, au scris cercetătorii. Bug-ul a obținut un rating critic de 9,9 pe CVSS.
WordPress permite oricăror utilizatori autentificați să execute shortcodes prin acțiunea AJAX parse-media-shortcode, iar unele pluginuri permit, de asemenea, executarea neautentificată de shortcode astfel este posibil ca orice utilizator conectat, chiar și un utilizator fără permisiuni, cum ar fi un Abonat sau un Client, să execute PHP arbitrar pe un site, trimițând o solicitare cu parametrul shortcode setat la [php_everywhere]< PHP arbitrar>[/php_everywhere]
Executarea acestui PHP arbitrar pe un site WordPress permite de obicei preluarea completă a site-ului.
Celelalte două erori sunt urmărite ca CVE-2022-24664 și, respectiv, CVE-2022-24665 . Ambele au obținut același scor CVSS ca vulnerabilitatea codului scurt, dar au fost considerate puțin mai puțin severe de către cercetători, deoarece au nevoie de permisiuni la nivel de colaborator pentru a le exploata.