Sites WordPress correm risco por causa de falhas no PHP Everywhere

Segundo pesquisadores do Wordfence, milhares de sites WordPress correm risco por causa de falhas no PHP Everywhere.

O PHP Everywhere é um plugin que permite aos administradores do WordPress inserir código PHP em páginas, posts, barra lateral ou qualquer bloco Gutenberg, e usá-lo para exibir conteúdo dinâmico baseado em expressões PHP avaliadas.

Dito isso, Alguns pesquisadores encontraram três vulnerabilidades críticas de execução remota de código (RCE) no plug-in ‘PHP Everywhere’ para WordPress, que é usado por mais de 30.000 sites em todo o mundo.

Sites WordPress correm risco por causa de falhas no PHP Everywhere

Sites WordPress correm risco por causa de falhas no PHP Everywhere
Sites WordPress correm risco por causa de falhas no PHP Everywhere

As três vulnerabilidades foram descobertas por analistas de segurança do Wordfence e podem ser exploradas por contribuidores ou assinantes, afetando todas as versões do WordPress de 2.0.3 e anteriores.

Aqui está uma breve descrição das falhas:

  • CVE-2022-24663 – Falha de execução remota de código explorável por qualquer assinante, permitindo que eles enviem uma solicitação com o parâmetro ‘shortcode’ definido para PHP Everywhere e executem código PHP arbitrário no site. (Pontuação CVSS v3: 9,9)
  • CVE-2022-24664 – Vulnerabilidade RCE explorável por contribuidores por meio da metabox do plug-in. Um invasor criaria uma postagem, adicionaria uma metabox de código PHP e a visualizaria. (Pontuação CVSS v3: 9,9)
  • CVE-2022-24665 – Falha RCE explorável por contribuidores que têm o recurso ‘edit_posts’ e podem adicionar blocos PHP Everywhere Gutenberg. A configuração de segurança padrão em versões de plugins vulneráveis ​​não é ‘somente administrador’ como deveria ser. (Pontuação CVSS v3: 9,9)

Embora as duas últimas falhas não sejam facilmente exploráveis, pois exigem permissões de nível de colaborador, a primeira vulnerabilidade é muito mais aberta a uma exploração mais ampla, pois pode ser explorada apenas como assinante do site.

Por exemplo, um cliente logado em um site é considerado um ‘assinante’, portanto, apenas se registrar na plataforma de destino seria suficiente para obter privilégios suficientes para a execução de código PHP malicioso.

Em todos os casos, a execução de código arbitrário em um site pode levar ao controle completo do site, que é o pior cenário possível na segurança do site.

Correção apenas para o editor de blocos

A equipe do Wordfence descobriu as vulnerabilidades em 4 de janeiro de 2022 e informou o autor do PHP Everywhere sobre suas descobertas.

O fornecedor lançou uma atualização de segurança em 10 de janeiro de 2022, com a versão 3.0.0, que sofreu um grande aumento no número da versão porque exigia uma reescrita substancial do código.

Embora os desenvolvedores tenham corrigido a atualização no mês passado, não é incomum que os administradores não atualizem regularmente seu site e plugins do WordPress.

De acordo com as estatísticas de download no WordPress.org, apenas 15.000 instalações de 30.000 atualizaram o plugin desde que os bugs foram corrigidos.

Portanto, devido à gravidade dessas vulnerabilidades, todos os usuários do PHP Everywhere são fortemente aconselhados a se certificarem de que atualizaram para o PHP Everywhere versão 3.0.0, que é a mais recente disponível no momento.

Observe que, se você estiver usando o Classic Editor em seu site, precisará desinstalar o plug-in e encontrar outra solução para hospedar código PHP personalizado em seus componentes.

Isso ocorre porque a versão 3.0.0 suporta apenas trechos de PHP por meio do editor de blocos, e é improvável que o autor trabalhe na restauração da funcionalidade para o clássico do pôr do sol.

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.

Deixe um comentário

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.