Vulnerabilidad crítica de ejecución remota de código (RCE) detectado en PHP Everywhere

Se han identificado tres vulnerabilidades críticas en el complemento “PHP Everywhere” para WordPress, que permitirían a un atacante realizar ejecución remota de código (RCE). PHP Everywhere es un complemento que permite a los administradores de WordPress insertar código PHP en sus páginas, publicaciones, barras laterales o usarlo para mostrar contenido dinámico.

Las vulnerabilidades identificadas son:

CVE-2022-24663 de severidad critica, con una puntuación de 9.9. Esta vulnerabilidad se debe a una falla en el componente parse-media-shortcode. Esto permitiría a un atacante autenticado sin privilegios, realizar ejecución de código php insertando código malicioso a través del parámetro shortcode, obteniendo así ejecución remota de código (RCE).

CVE-2022-24664 de severidad critica, con una puntuación de 9.9. Esta vulnerabilidad se debe a una falla en el plugin metabox. Esto permitiría a un atacante crear una publicación con código php metabox, para que la víctima ejecute la misma, logrando así realizar ejecución remota de código (RCE).

CVE-2022-24665 de severidad critica, con una puntuación de 9.9. Esta vulnerabilidad se debe a una falla en la funcionalidad edit_posts. Un atacante con privilegios mínimos podría crear una publicación utilizando el plugin PHP Anywhere, inyectando código malicioso en la misma, para que la víctima lo ejecute y así lograr la ejecución remota de código (RCE).

Las versiones afectadas son la PHP Everywhere 2.0.3 y anteriores.

Recomendamos descargar e instalar la versión más reciente del plugin proveída por el desarrollador mediante el siguiente link:

Referencias:

Compartir: