Se han identificado tres vulnerabilidades críticas en el complemento “PHP Everywhere” para WordPress, que permitirían a un atacante realizar ejecución remota de código (RCE). PHP Everywhere es un complemento que permite a los administradores de WordPress insertar código PHP en sus páginas, publicaciones, barras laterales o usarlo para mostrar contenido dinámico.
Las vulnerabilidades identificadas son:
CVE-2022-24663 de severidad critica, con una puntuación de 9.9. Esta vulnerabilidad se debe a una falla en el componente parse-media-shortcode. Esto permitiría a un atacante autenticado sin privilegios, realizar ejecución de código php insertando código malicioso a través del parámetro shortcode, obteniendo así ejecución remota de código (RCE).
CVE-2022-24664 de severidad critica, con una puntuación de 9.9. Esta vulnerabilidad se debe a una falla en el plugin metabox. Esto permitiría a un atacante crear una publicación con código php metabox, para que la víctima ejecute la misma, logrando así realizar ejecución remota de código (RCE).
CVE-2022-24665 de severidad critica, con una puntuación de 9.9. Esta vulnerabilidad se debe a una falla en la funcionalidad edit_posts. Un atacante con privilegios mínimos podría crear una publicación utilizando el plugin PHP Anywhere, inyectando código malicioso en la misma, para que la víctima lo ejecute y así lograr la ejecución remota de código (RCE).
Las versiones afectadas son la PHP Everywhere 2.0.3 y anteriores.
Recomendamos descargar e instalar la versión más reciente del plugin proveída por el desarrollador mediante el siguiente link:
Referencias:
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-24663
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-24664
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-24665
- https://www.securityweek.com/critical-code-execution-flaws-patched-php-everywhere-wordpress-plugin
- https://www.wordfence.com/blog/2022/02/critical-vulnerabilities-in-php-everywhere-allow-remote-code-execution/