Greška u dodatku za WordPress „PHP Svuda“ dovela do destabilizacije preko 30.000 internet sajtova

Kritičan sigurnosni propust pronadjen je u  WordPressovom dodatku PHP everyware koji je instaliran na preko 30 hiljada sajtova i koji bi mogao biti zloupotrebljen za izvršavanje malicioznog koda na ovim sajtovima.

PHP svuda se koristi za implementiranje PHP koda na svim segmentima WordPressa i omogućava korisnicima lako korišćenje custom php skripti u postovima, stranama i sidebarovima.

Ova tri kritična elementa kotirana su ocenom 9.9 od 10 na CVSS rejting sistemu. Ovim propustom obuhvaćena je   verzija 2.0.3 i starije.

  • CVE-2022-24663 – daljinsko izvršenje od strane pretplatnika + korisnika preko shortcode-s
  • CVE-2022-24664 – daljinsko izvršenje od strane Contributor + korisnika preko metabox-a
  • CVE-2022-24665 – daljinsko izvršenje od strane Contributor + korisnika preko gutenberg block-a

Iskorišćavanjem ova 3 elementa moglo bi da dovede do izvršavanja PHP koda sa kojim bi se mogao preuzeti ceo sajt.

Kompanija za bezbednost WF saopštila je da je obavеstila autora pomenutog dodatka 4. januara, nakon čega su 12. januara izdata ažuriranja pod verzijom 3.0 u kojoj su u potpunosti uklonjeni propusti.

Treba pomenuti da verzija 3.0 podržava samo PHP skripte preko BLOK EDITORA i da korisnici koji koriste stari Classic editor ne mogu koristiti plug in dok ne isključe stari editor ili ne preuzmu neko alternativno rešenje.

 

Izvor: The Hacker News, First