'PHP Everywhere' Eklentisindeki Kritik RCE Açıkları Binlerce WordPress Sitesini Etkiliyor

 



Dünya çapında 30.000'den fazla web sitesi tarafından kullanılan ve bir saldırgan tarafından etkilenen sistemlerde rastgele kod yürütmek için kötüye kullanılabilecek PHP Everywhere olarak bilinen bir WordPress eklentisinde kritik güvenlik açıkları olduğu açıklandı.




PHP Everywhere, WordPress kurulumlarında PHP kodundaki anahtarı çevirmek için kullanılıyor ve kullanıcıların içerik yönetim sisteminin sayfalarına, gönderilerine ve kenar çubuğuna PHP tabanlı kod eklemesine ve yürütmesine olanak tanıyor.



CVSS derecelendirme sisteminde tümü maksimum 10 üzerinden 9,9 olarak derecelendirilen üç zafiyet, 2.0.3 ve önceki sürümleri etkiler ve aşağıdaki gibidir:



  • CVE-2022-24663 - Abone+ kullanıcıları tarafından kısa kod aracılığıyla Uzaktan Kod Yürütme


  • CVE-2022-24664 - Contributor+ kullanıcıları tarafından metabox aracılığıyla Uzaktan Kod Yürütme 


  • CVE-2022-24665 - Gutenberg bloğu aracılığıyla Contributor+ kullanıcıları tarafından Uzaktan Kod Yürütme



Bu üç güvenlik açığından başarılı bir şekilde yararlanılması, sitenin  ele geçirilmesi için kullanılabilecek kötü amaçlı PHP kodunun yürütülmesine neden olabiliyor.



WordPress'in güvenlik şirketi Wordfence, 4 Ocak'ta eklentinin yazarı Alexander Fuchs'un onayını açıkladığını ve tamamlamayı içeren kodu kaldırarak 12 Ocak 2022'de 3.0.0 sürümüyle güncellemeleri yayınladığını söyledi.


Eklentinin güncellenmiş açıklama sayfasında "Bu eklentinin 3.0.0 sürümüne yapılan güncelleme, [php_everywhere] kısa kodunu ve widget'ını kaldıran bir kırılma değişikliğidir" yazıyor. "Eski kodu Gutenberg bloklarına taşımak için eklentinin ayarlar sayfasından yükseltme sihirbazını çalıştırılması gerekiyor"



3.0.0 sürümünün yalnızca Blok düzenleyici aracılığıyla PHP snippet'lerini desteklediğini belirtmekte fayda var, bu da Klasik Düzenleyiciye güvenen kullanıcıların eklentiyi kaldırmasını ve özel PHP kodunu barındırmak için alternatif bir çözüm indirmesini zorunlu kılıyor.


thehackernews'dan alıntıdır.


Hiç yorum yok: