PHP Everywhere Eklentisindeki RCE Açıkları Binlerce WordPress Sitesini Tehdit Ediyor. WordFence, 30.000 WordPress sitesi tarafından kullanılan popüler PHP Everywhere eklentisinde üç tehlikeli RCE güvenlik açığı keşfetti. Tüm hatalar, CVSS güvenlik açığı derecelendirme ölçeğinde 10 üzerinden 9,9 olarak derecelendirildi ve uzaktan çalıştırılabilir seviyede olduğu belirtildi.
Adından da anlaşılacağı gibi, PHP Everywhere, WordPress site yöneticilerinin herhangi bir sayfaya, kenar çubuğuna, gönderiye veya herhangi bir Gutenberg bloğuna PHP kodu eklemesini kolaylaştırıyor.
Uzmanlar tarafından bulunan sorunlardan hem yazarlar hem de basit aboneler yararlanabiliyor. Hataların WordPress’in 2.0.3 ve altındaki tüm sürümleri için tehlikeli olduğu belirtiliyor.
PHP Everywhere Eklentisindeki RCE Açıkları Binlerce WordPress Sitesini Tehdit Ediyor
İlk güvenlik açığı CVE-2022-24663 olarak tanımlandı. WordPress’in kimliği doğrulanmış kullanıcıların, kullanıcı oturum açmışsa (normal bir abone olarak düşük ayrıcalıklara sahip olsa bile), onun tarafından kısa kod parametresiyle gönderilen istek, sonunda tam bir kaynak yakalamaya yol açabilecek rastgele PHP kodunu yürütmek için kullanılabiliyor.
İkinci sayı, CVE-2022-24664, PHP Everywhere’in meta kutuları nasıl yönettiği ve edit_posts yeteneğine sahip herhangi bir kullanıcının bu işlevleri kullanmasına izin vermesiyle ilgili.
Uzmanlar, “Güvenilmeyen katılımcı düzeyindeki kullanıcılar, bir gönderi oluşturarak, PHP Everywhere meta kutusuna PHP kodu ekleyerek ve ardından bu gönderiyi önizleyerek sitede rastgele kod yürütmek için PHP Everywhere meta kutusunu kullanabilir.” diyor. “Bu güvenlik açığı, kısa kod güvenlik açığıyla aynı CVSS puanına sahip olsa da, katkıda bulunan ayrıcalıkları gerektirdiği için daha az ciddidir.”
Üçüncü güvenlik açığı, CVE-2022-24665 tanımlayıcısını aldı ve edit_posts haklarına sahip kullanıcıların PHP Everywhere’de Gutenberg bloklarını kullanabilmelerinden oluşuyor. Yani, bir saldırgan sitenin çalışmasına müdahale etme ve rasgele kod çalıştırma fırsatı elde edebiliyor. Bu işlevsellik, yalnızca yönetici seçeneğiyle sınırlandırılabilir, ancak WordPress 2.0.3’ten önceki sürümlerde bu varsayılan olarak uygulanamıyor.
PHP Everywhere’in geliştiricisi, eklentinin yamalı bir sürümünü 10 Ocak 2022’de yayınladı ve ona 3.0.0 numarasını verdi. Ne yazık ki, resmi istatistiklere göre şimdiye kadar 30.000 siteden sadece 15.000’i eklentiyi güvenli bir sürüme güncelledi.
