In einem WordPress-Plugin namens PHP Everywhere, das von mehr als 30.000 Websites weltweit genutzt wird, wurden kritische Sicherheitslücken entdeckt, die von Angreifern zur Ausführung von beliebigem Code auf den betroffenen Systemen missbraucht werden könnten.
PHP Everywhere wird verwendet, um PHP-Code in WordPress-Installationen zu aktivieren und ermöglicht es den Nutzern, PHP-basierten Code in den Seiten, Beiträgen und der Seitenleiste des Content Management Systems einzufügen und auszuführen.
Die drei Schwachstellen, die alle mit 9,9 von maximal 10 Punkten im CVSS-Bewertungssystem eingestuft wurden, betreffen die Versionen 2.0.3 und darunter und sind wie folgt
CVE-2022-24663 – Remote Code Execution durch Subscriber+ Benutzer über Shortcode
– Remote Code Execution durch Subscriber+ Nutzer über den Shortcode CVE-2022-24664 – Remote Code Execution durch Contributor+ Nutzer über die Metabox und
– Remote Code Execution durch Contributor+ Nutzer über die Metabox und CVE-2022-24665 – Remote Code Execution durch Contributor+ Nutzer über den Gutenberg-Block
Wenn die drei Schwachstellen erfolgreich ausgenutzt werden, kann dies zur Ausführung von bösartigem PHP-Code führen, der für eine vollständige Übernahme der Website genutzt werden kann.
Das WordPress-Sicherheitsunternehmen Wordfence teilte dem Autor des Plugins, Alexander Fuchs, die Schwachstellen am 4. Januar mit, woraufhin am 12. Januar 2022 mit Version 3.0.0 ein Update veröffentlicht wurde, das den anfälligen Code vollständig entfernt.
„Das Update auf Version 3.0.0 dieses Plugins ist eine grundlegende Änderung, die den [php_everywhere] Shortcode und das Widget entfernt“, heißt es auf der aktualisierten Beschreibungsseite des Plugins. „Führe den Upgrade-Assistenten auf der Einstellungsseite des Plugins aus, um deinen alten Code in Gutenberg-Blöcke zu migrieren.
Es ist erwähnenswert, dass Version 3.0.0 nur PHP-Snippets über den Block-Editor unterstützt, so dass Nutzer/innen, die noch auf den klassischen Editor angewiesen sind, das Plugin deinstallieren und eine alternative Lösung für das Hosting von benutzerdefiniertem PHP-Code herunterladen müssen.