PHP Everywhere存在三个严重远程代码执行漏洞

一个名为 PHP Everywhere 的 WordPress 插件中被发现存在三个严重远程代码执行漏洞，导致超三万网站受到影响。

据悉，该插件可便于基于 WordPress 搭建的网站管理员在页面、帖子、侧边栏或任何 Gutenberg 块插入 PHP 代码。

目前全世界有超过三百万个网站都在使用这款插件，但其存在的漏洞可能被攻击者利用在受影响系统执行任意代码。

而在 CVSS 评级系统中，这三个漏洞的评分级别高达 9.9（满分10分） ，影响 2.0.3 及以下的所有 WordPress 版本。

其中，CVE-2022-24663：任何网站的订阅者或者是用户都可以利用漏洞，通过短代码在网站上执行任意 PHP 代码。

CVE-2022-24664：可以允许代码贡献者创建一则帖子后，添加一个 PHP 代码元框，然后进行预览并远程执行代码。

CVE-2022-24665：拥有 edit_posts 权限、并可添加 PHP Everywhere Gutenberg 块的贡献者可直接远程执行代码。

虽然上述三个漏洞的实施都需要具备一定的权限，但任何一个漏洞都有可能导致恶意 PHP代码的执行使网站被接管。

当然，后两个漏洞因为需要贡献贡献者的权限所以无法被轻易利用，但第一个漏洞的存在着实人人觉得匪夷所思了。

毕竟任何人都可以不受任何限制的去订阅一个 WordPress 构建的网站，也就意味着任何人能利用漏洞轻易接管网站。

WordPress 方面表示，他们在2022年01月04日已向 PHP Everywhere 这个插件的作者 Alexander Fuchs 披露了漏洞。

该作者于2022年01月12日发布插件的3.0版本，完全删除了漏洞代码，之所以间隔时间长是因为需要大量重写代码。

为了避免不必要的问题出现，建议这些受影响的站长先卸载相关插件，然后重新下载安装已修复漏洞的3.0版本插件。

另外，如果网站使用的是经典编辑器就需要先卸载插件并找到替代解决方案，以在其组件上托管自定义的 PHP 代码。

因为已经更新的 3.0.0 版本的插件仅支持基于 Block 编辑器的 PHP 片段，使用经典编辑器的代码可能正常无法运行。

不过，尽管漏洞高危、插件开发者也快速做出响应，网站管理者似乎普遍不怎么定时更新其 WordPress 网站和插件。

据 WordPress 官方的统计结果来看，漏洞被修复后，受影响的超过三万个站点之中仅仅一半的网站及时更新了插件。

笔者特好奇这些站长是不是平时根本不关注相关的安全资讯，还是他们在佛系做站，又或者压根嫌麻烦懒得去处理。