Kritik güvenlik açıkları, dünya çapında 30.000’den fazla web sitesi tarafından kullanılan ve bir saldırgan tarafından etkilenen sistemlerde rastgele kod yürütmek için kötüye kullanılabilecek PHP Everywhere olarak bilinen bir WordPress eklentisinde açıklandı.
PHP Her Yerde Kullanılmış WordPress kurulumlarında PHP kodunu açmak, kullanıcıların içerik yönetim sisteminin Sayfalarına, Gönderilerine ve Kenar Çubuğuna PHP tabanlı kod eklemesini ve yürütmesini sağlamak için.
CVSS derecelendirme sisteminde tümü maksimum 10 üzerinden 9,9 olarak derecelendirilen üç konu, 2.0.3 ve önceki sürümleri etkiler ve aşağıdaki gibidir:
- CVE-2022-24663 – Abone+ kullanıcıları tarafından kısa kod aracılığıyla Uzaktan Kod Yürütme
- CVE-2022-24664 – Metabox aracılığıyla Contributor+ kullanıcıları tarafından Uzaktan Kod Yürütme ve
- CVE-2022-24665 – Gutenberg bloğu aracılığıyla Contributor+ kullanıcıları tarafından Uzaktan Kod Yürütme
Üç güvenlik açığından başarılı bir şekilde yararlanılması, sitenin eksiksiz bir şekilde ele geçirilmesi için kullanılabilecek kötü amaçlı PHP kodunun yürütülmesine neden olabilir.
WordPress güvenlik şirketi Wordfence söz konusu 4 Ocak’ta eklentinin yazarı Alexander Fuchs’a eksiklikleri açıkladı ve ardından güvenlik açığı olan kodu tamamen kaldırarak 12 Ocak 2022’de 3.0.0 sürümüyle güncellemeler yayınlandı.
“Bu eklentinin 3.0.0 sürümüne yapılan güncelleme, [php_everywhere] eklentinin güncellenmiş açıklama sayfasında şimdi “kısa kod ve widget” yazıyor. “Eski kodunuzu Gutenberg bloklarına taşımak için eklentinin ayarlar sayfasından yükseltme sihirbazını çalıştırın.”
3.0.0 sürümünün yalnızca PHP parçacıklarını desteklediğini belirtmekte fayda var. Blok düzenleyicihala güvenen kullanıcıların Klasik Editör eklentiyi kaldırmak ve özel PHP kodunu barındırmak için alternatif bir çözüm indirmek için.