Vulnerabilidades críticas em PHP em todos os lugares permitem execução remota de código

Tweet

Em 4 de janeiro de 2022, a equipe de Inteligência de Ameaças do Wordfence iniciou o processo de divulgação responsável para várias vulnerabilidades de execução remota de código em PHP Everywhere, um plugin WordPress instalado em mais de 30.000 sites. Uma dessas vulnerabilidades permitiu que qualquer usuário autenticado de qualquer nível, mesmo assinantes e clientes, executasse código em um site com o plugin instalado. Como as vulnerabilidades eram de gravidade crítica, entramos em contato com o repositório de plugins do WordPress com nossa divulgação, além de iniciar a divulgação ao autor do plugin.

Recebemos uma resposta do autor do plugin em poucas horas e enviamos toda a divulgação naquele momento. Uma versão amplamente reconstruída do plugin foi disponibilizada em 10 de janeiro de 2022.

Os usuários do Wordfence Premium receberam uma regra de firewall que protege contra essas vulnerabilidades no mesmo dia, em 4 de janeiro de 2022.

Recentemente lançamos o Wordfence Care and Response. Esses dois novos produtos também recebem atualizações de inteligência de ameaças em tempo real, mas ainda não haviam sido lançados em 4 de janeiro. Os clientes do Wordfence Care e Wordfence Response receberam a regra de firewall imediatamente após a assinatura e continuarão a receber regras de firewall e outras informações de ameaças em tempo real assim que for lançada.

Sites que ainda utilizam a versão gratuita do Wordfence receberam a mesma proteção 30 dias após o lançamento inicial, em 3 de fevereiro de 2022.

O que devo fazer se estou executando PHP em todo lugar?

Se você estiver usando o plugin PHP em todos os lugares, é imprescindível que você atualize para a versão mais recente, que é 3.0.0 no momento desta escrita, a fim de evitar que seu site seja explorado. Infelizmente, a versão 3.0.0 só suporta trechos php através do editor do Bloco, portanto, se você estiver usando o Editor Clássico, você precisará desinstalar o plugin e encontrar outra solução. Você não deve continuar a executar versões mais antigas do PHP Everywhere em nenhuma circunstância.

Descrição: Execução remota de código por usuários assinantes+ através de plugin afetado de curto código

:PHP Everywhere
Plugin Slug: php-everywhere
Plugin Developer: Alexander Fuchs
Afetado Versões: <= 2.0.3
CVE ID: CVE-0-0 2022-24663
CVSS Pontuação: 9.9 (crítico)
cvss vetor: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S: C/C:H/I:H/A:H
Pesquisador/s: Ramuel Gall
Versão totalmente corrigida: 3.0.0

PHP Everywhere é um plugin WordPress que pretende permitir que os proprietários do site executem código PHP em qualquer lugar do site. Ele incluiu funcionalidade que permitiu a execução de trechos de código PHP via códigos curtos WordPress.

Infelizmente, o WordPress permite que qualquer usuário autenticado execute códigos curtos através da ação AJAX, e alguns plugins também permitem a execução de curtodigo não autenticado.

Como tal, era possível para qualquer usuário logado, mesmo um usuário quase sem permissões, como um Assinante ou um Cliente, executar PHP arbitrário em um site enviando uma solicitação com o parâmetro definido para . Executar PHP arbitrário em um site normalmente permite a aquisição completa do site.parse-media-shortcodeshortcode[php_everywhere]<arbitrary PHP>[/php_everywhere]

Saiba mais: WordFence