Vários bugs de execução de código PHP Everywhere estão causando muitos problemas a milhares de sites WordPress. São vulnerabilidades críticas de execução remota de código (RCE) neste popular plugin WordPress que acabam de se tornar públicas.
Os bugs do RCE impactam o PHP Everywhere. Este é um utilitário para desenvolvedores web poderem usar código PHP. Isso pode ser em páginas, posts, barra lateral ou em qualquer lugar com um bloco Gutenberg – blocos de editor no WordPress – em domínios usando o sistema de gerenciamento de conteúdo (CMS). O plugin estás em mais de 30.000 sites.
De acordo com a equipe do WordFence Threat Intelligence, as três vulnerabilidades no PHP Everywhere levam à execução remota de código nas versões do software abaixo de 2.0.3.
Bugs de execução de código PHP Everywhere afetam milhares de sites WordPress
A primeira vulnerabilidade é rastreada como CVE-2022-24663. O problema recebeu uma pontuação de gravidade CVSS de 9,9.
O WordPress permite que usuários autenticados executem códigos de acesso por meio da ação AJAX parse-media-shortcode. Nesse caso, o invasor pode obter controle total do site se os usuários estiverem logados – mesmo que quase não tenham permissões, como se fossem assinantes. Isso ocorre caso um parâmetro de solicitação criado seja enviado para executar PHP arbitrário.
Outro problema muito grave apontado pelos pesquisadores é o CVE-2022-24664, que também emitiu uma pontuação de gravidade de 9,9. Essa vulnerabilidade foi encontrada em como o PHP Everywhere gerencia metaboxes – caixas de edição arrastáveis – e como o software permite que qualquer usuário com o recurso edit_posts use essas funções.
Usuários de nível de contribuidor não confiáveis podem usar a metabox PHP Everywhere para obter a execução de código em um site criando uma postagem, adicionando código PHP à metabox PHP Everywhere e, em seguida, visualizando a postagem, diz WordFence.
Embora essa vulnerabilidade tenha a mesma pontuação CVSS que a vulnerabilidade de código de acesso, ela é menos grave, pois requer permissões de nível de contribuidor.
A terceira vulnerabilidade é rastreada como CVE-2022-24665 e também possui 9.9 na escala de gravidade. Todos os usuários com permissões edit_posts podem usar blocos PHP Everywhere Gutenberg, e os invasores podem adulterar a funcionalidade de um site executando código PHP arbitrário por meio dessas funções.
Era possível definir esta função apenas para administradores. Entretanto, nas versões do software abaixo de 2.0.3, isso não podia ser implementado por padrão.
Correções já estão disponíveis
O WordFence divulgou as vulnerabilidades ao desenvolvedor em 4 de janeiro. A partir de então, saiu rapidamente um conjunto de correções. Em 10 de janeiro, uma versão corrigida do plugin, v.3.0.0, foi lançada.
O desenvolvedor, Alexander Fuchs, diz que a atualização causou uma “mudança de ruptura” devido à remoção necessária de algumas funcionalidades do editor de blocos e, portanto, os usuários que enfrentam problemas – como se estiverem contando com o Classic Editor – também precisarão atualizar código antigo para blocos Gutenberg ou encontre outra solução para executar o PHP.
Porém, passado mais de um mês, pouco mais de 30% dos usuários atualizaram o plugin. Assim, muitos sites ainda estão executando versões problemáticas.
Via ZDNet