有數(shù)以萬計的WordPress網(wǎng)站由于其使用的一個插件中含有關(guān)鍵的漏洞,從而使得網(wǎng)站面臨著被攻擊的風(fēng)險。該插件可以使用戶更方便的在網(wǎng)站上使用PHP代碼。
研究人員發(fā)現(xiàn),其中的一個漏洞允許任何級別的認(rèn)證用戶,甚至是訂閱者和客戶執(zhí)行代碼,完全接管安裝了該插件的網(wǎng)站。
來自Wordfence Threat Intelligence的研究人員在周二發(fā)表的一篇博文中發(fā)現(xiàn)了PHP Everywhere中的三個關(guān)鍵漏洞,該插件安裝在超過3萬個WordPress網(wǎng)站上。該插件的作用也恰如其名,它允許WordPress網(wǎng)站開發(fā)人員將PHP代碼放在網(wǎng)站的各種組件中,包括文章頁面、帖子和側(cè)邊欄等位置。
Wordfence的Ram Gall在帖子中寫道:"這些漏洞非常容易被利用,而且還可以被用來快速接管一個網(wǎng)站。”
這三個漏洞主要是由于插件中的默認(rèn)設(shè)置造成的,在Wordfence通過合規(guī)的披露程序通知了開發(fā)人員后,在新版的插件中,這些漏洞已經(jīng)得到了修復(fù)。
Wordfence團(tuán)隊在1月4日向PHP Everywhere的開發(fā)者發(fā)送了電子郵件,并很快得到了答復(fù)。他隨后于1月10日發(fā)布了一個重建的插件版本,修復(fù)了所有漏洞。Wordfence敦促所有使用該插件的WordPress網(wǎng)站的管理者立即安裝新版本的插件。
關(guān)鍵性漏洞
研究人員寫道,其中最危險的漏洞是訂閱用戶可以通過短代碼進(jìn)行遠(yuǎn)程代碼執(zhí)行,該漏洞與插件的功能有關(guān),并且該漏洞被追蹤為CVE-2022-24663,在CVSS也上獲得了9.9的評級。
不幸的是,WordPress允許任何認(rèn)證用戶通過parse-media-shortcode AJAX來執(zhí)行短代碼,一些插件也允許未經(jīng)認(rèn)證的短代碼執(zhí)行,因此,任何登錄的用戶,甚至是幾乎沒有任何權(quán)限的用戶,比如訂閱者,都有可能通過發(fā)送一個參數(shù)為[php_everywhere]
研究人員發(fā)現(xiàn),在WordPress網(wǎng)站上執(zhí)行任意的PHP代碼,通常可以完全接管網(wǎng)站。
另外兩個漏洞分別被追蹤為CVE-2022-24664和CVE-2022-24665。Gall解釋說,這兩個漏洞的CVSS評分與短碼漏洞相同,但研究人員認(rèn)為其嚴(yán)重程度稍低。
前者是訂閱用戶通過metabox進(jìn)行遠(yuǎn)程代碼執(zhí)行,該漏洞與PHP Everywhere的一個默認(rèn)設(shè)置有關(guān),該設(shè)置允許所有具有edit_posts能力的用戶使用PHP Everywhere metabox。
不幸的是,這意味著不受信任的用戶都可以使用PHP Everywhere metabox,創(chuàng)建一個帖子,然后在PHP Everywhere metabox中添加PHP代碼,預(yù)覽該帖子,實現(xiàn)網(wǎng)站的任意代碼執(zhí)行。
第三個漏洞,訂閱用戶通過Gutenberg塊進(jìn)行遠(yuǎn)程代碼執(zhí)行,與PHP Everywhere的一個默認(rèn)設(shè)置有關(guān),該設(shè)置允許所有具有edit_posts能力的用戶使用PHP Everywhere Gutenberg塊。
研究人員解釋說:"雖然可以將其設(shè)置為管理員專用,但由于<=2.0.3版本無法在不禁用Gutenberg塊編輯器的情況下進(jìn)行檢查,所以默認(rèn)情況下并沒有設(shè)置。”
他說,不幸的是,這種設(shè)置意味著用戶可以在網(wǎng)站上執(zhí)行任意的PHP代碼。方法也只是通過創(chuàng)建一個帖子,添加PHP everywhere塊并在其中添加代碼,然后預(yù)覽該帖子。
風(fēng)險和保護(hù)措施
對于使用開源內(nèi)容管理系統(tǒng)建立網(wǎng)站的開發(fā)者來說,WordPress插件一直是一個痛點,經(jīng)常會有威脅到WordPress網(wǎng)站安全的漏洞。
上個月,研究人員發(fā)現(xiàn)三個WordPress插件存在同樣的漏洞,可以讓攻擊者在網(wǎng)站管理員的操作下,在有漏洞的網(wǎng)站上更新任意的網(wǎng)站選項,并完全接管它。而在去年10月,一個名為Hashthemes Demo Importer的WordPress插件則允許訂閱者將網(wǎng)站的內(nèi)容完全清除。
事實上,根據(jù)RiskBased Security的研究人員,可利用的WordPress插件漏洞數(shù)量在2021年出現(xiàn)了爆炸性增長,增加了三位數(shù)。
就其本身而言,Wordfence已經(jīng)向受PHP Everywhere漏洞影響的用戶提供了自己的緩解措施。該公司在研究人員通知開發(fā)者的同一天,及時向其高級用戶提供了修復(fù)PHP Everywhere漏洞的防火墻規(guī)則。該公司后來將防火墻擴(kuò)展到其他客戶以及免費版Wordfence的用戶。
根據(jù)該帖子,Wordfence還通過其Wordfence Care服務(wù)向受漏洞影響的WordPress用戶提供事件響應(yīng)服務(wù)。
本文翻譯自:https://threatpost.com/php-everywhere-bugs-wordpress-rce/178338/如若轉(zhuǎn)載,請注明原文地址。
原文地址:https://www.4hou.com/posts/GWJJ
