WordPress 插件“PHP Everywhere”存在严重的安全漏洞

如果你的 WordPress 安装了 PHP Everywhere,那么你要赶快升级到 3.0 版本或者删除了,因为近日该插件被披露存在三个严重的安全漏洞,攻击者可在受影响的网站上利用该漏洞,执行任意代码。

WordPress 插件“PHP Everywhere”存在严重的安全漏洞
 WordPress 插件“PHP Everywhere”

PHP Everywhere 可以让你在 WordPress 随时随地使用 PHP 代码,使用户能够在 WordPress 的文章,页面和侧边栏中插入和执行 PHP 的代码,根据 WordPress 官方插件库的数据,该插件已被 3 万多个 WordPress 站点使用。

三个严重级的远程代码执行漏洞

这三个漏洞在 CVSS 评级系统中都被评为 9.9 分(最高 10 分),影响了 PHP Everywhere 插件 2.0.3 及以下版本,漏洞具体细节如下:

  • CVE-2022-24663 – 只要订阅者权限的用户就可以通过短代码进行远程代码执行。
  • CVE-2022-24664 – 通过编辑界面的窗体进行远程代码执行(该漏洞需要贡献者的权限,因此严重程度较低)。
  • CVE-2022-24665 – 通过古腾堡编辑器块进行远程代码执行(同样需要贡献者的权限)

如果网站存在这三个漏洞,黑客将可以利用它们并执行恶意的 PHP 代码,甚至可以实现对网站的完全接管。

PHP Everywhere 3.0.0 解决问题

安全公司 Wordfence 在1月4日就向插件的作者上述这些漏洞,随后在1月12日发布了 PHP Everywhere 3.0.0 更新版,已完全删除了有漏洞的代码。

3.0.0 版本通过移除短代码功能,并且提供一个升级向导,将旧的短代码升级到 Gutenberg 编辑器里面的块(block)。但是 3.0.0 版本只支持古腾堡编辑器,不再支持原来的经典编辑器了。

我个人不太建议直接在后台输入 PHP 代码,然后让前台执行,首先这个对用户的代码能力要求非常高,然后这类插件的安全性一直会存在问题,个人还是觉得通过修改模板或者其他模板能力的插件来实现类似的功能。

“张承辉博客” WordPress 插件“PHP Everywhere”存在严重的安全漏洞 https://www.zhangchenghui.com/2028

(0)
上一篇 2022年2月3日 下午3:45
下一篇 2022年2月14日 上午3:32

相关推荐

  • QQ互联审核不通过:点击QQ登录按钮提示登录失败或出现错误信息?

    QQ互联审核不通过:点击QQ登录按钮提示登录失败或出现错误信息(无跳转、提示失败、出现错误信息) 关于在QQ开放平台申请QQ帐号登陆,审核结果提示“登录失败或出现错误信息(无跳转、…

    2021年8月12日
    00703
  • 追梦人日记网:一个古董级的网站

    当你在百度上搜索「中国第一家博客网站是哪一个」,你会得到的答案是:博客中国(blogchina.com)。维基百科上描述博客中国成立于 2004 年,那一年,刘翔奥运夺冠、美国占领…

    2021年7月20日
    001.5K
  • 宝塔面板CEO的偏执创业路

    一开始宝塔面板只是个小的服务器工具,就几千行代码,发布出去的时候被人笑话什么**玩意,到现在宝塔面板有大几十万行代码,快成为一个功能完善的运维系统。一开始公司只有三四个人,整个公司…

    2021年8月17日
    00457
  • 腾讯云SSL证书免费吗?腾讯云ssl证书安装教程

    腾讯云SSL证书免费吗? 关于 SSL 证书一键 HTTPS 功能正式商业化通知 尊敬的腾讯云用户,您好!您的腾讯云账号(账号 ID:******,昵称:***)使用的 SSL 证…

    2022年1月12日
    00443
  • 搭建WordPress网站必知的安全措施

    本文讲述用WordPress程序搭建博客或网站必须知道的10点安全防范措施。 1.选择安全可靠的主机 谨慎选择一款安全可靠的主机,不要使用免费主机和劣质主机。免费主机只适合用来学习…

    2021年7月20日
    00557
  • 英文网站SEO成长日记

    首先,重温下我们做 Affiliate 站点的商业模式。 Affiliate 站点如何挣钱呢? 欧美用户在买东西(特别是一些专业的或者价格较高的物品)之前大多会进行产品功能的优缺点…

    2021年9月22日
    00372

发表评论

登录后才能评论