El complemento PHP Everywhere de WordPress pone en riesgo a miles de sitios

Los investigadores de Wordfence han encontrado vulnerabilidades críticas en un popular complemento de WordPress llamado PHP Everywhere, que afecta a miles de sitios web.

El error de ejecución remota de código en uno de los errores encontrados permitirá que incluso un suscriptor general inyecte código PHP malicioso en un sitio de destino. Los sitios web que tienen este complemento y se ejecutan en WordPress v2.0.3 e inferior son vulnerables, dicen los investigadores. Aunque, una actualización de parche está disponible.

Índice de contenidos

    Error de RCE en un complemento de WordPress

    En la rutina de encontrar nuevos errores que afecten a los sitios de WordPress, el equipo de wordfence ha encontrado tres vulnerabilidades críticas en un complemento popular llamado PHP Everywhere. Esto está siendo utilizado por más de 30,000 sitios web de WordPress, dicen los investigadores.

    Sus hallazgos incluyen lo siguiente;

    • CVE-2022-24664 – Vulnerabilidad de RCE explotable por los contribuyentes a través del metabox del complemento. Un atacante crearía una publicación, agregaría un metabox de código PHP y luego lo previsualizaría. (Puntuación CVSS v3: 9,9)
    • CVE-2022-24663 – Falla de ejecución remota de código explotable por cualquier suscriptor al permitirles enviar una solicitud con el parámetro 'shortcode' establecido en PHP Everywhere y ejecutar código PHP arbitrario en el sitio. (Puntuación CVSS v3: 9,9)
    • CVE-2022-24665 – Falla de RCE explotable por colaboradores que tienen la capacidad de 'editar publicaciones' y pueden agregar bloques PHP Everywhere Gutenberg. La configuración de seguridad predeterminada en versiones de complementos vulnerables no está en 'solo administrador' como debería ser. (Puntuación CVSS v3: 9,9)

    Es inusual que los tres errores tengan puntajes de gravedad muy altos (9.9/10), que están al acecho sin conocer a los desarrolladores. El tercer error de la lista anterior es aún más crítico, ya que puede ser explotado por un suscriptor.

    Cualquiera que se registre como suscriptor general de un sitio de destino puede tener el privilegio de ejecutar código PHP malicioso, lo que en última instancia lleva a la toma de control del sitio. Aunque los dos primeros errores necesitan al menos acceso de colaborador al sitio de destino, siguen siendo significativos.

    El equipo de Wordfence detectó estas vulnerabilidades el 4 de enero de 2022 e informó al fabricante de PHP Everywhere de inmediato. Aunque el autor lanzó parches para estos errores el 10 de enero de 2022, sigue siendo responsabilidad de los propietarios del sitio de WordPress actualizar el complemento desde su parte.

    Y para tener en cuenta, la actualización del parche actual (v.3.0.0) solo es bueno para sitios con editores de bloques, dejando vulnerables a los que tienen editores clásicos. A partir de ahora, se encuentra que solo la mitad del total de 30,000 sitios han actualizado este complemento.

    Relacionados

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada.

    Subir