php-everywhere

‘PHP Everywhere’ Eklentisindeki Kritik RCE Kusurları Binlerce WordPress Sitesini Etkiliyor

Kritik güvenlik açıkları, dünya çapında 30.000'den fazla web sitesi tarafından kullanılan ve bir saldırgan tarafından etkilenen sistemlerde rastgele kod yürütmek için kötüye kullanılabilecek PHP Everywhere olarak bilinen bir WordPress eklentisinde açıklandı.

PHP Everywhere, WordPress kurulumlarında PHP kodundaki anahtarı çevirmek için kullanılır ve kullanıcıların içerik yönetim sisteminin Sayfalarına, Gönderilerine ve Kenar Çubuğuna PHP tabanlı kod eklemesine ve yürütmesine olanak tanır.

CVSS derecelendirme sisteminde tümü maksimum 10 üzerinden 9,9 olarak derecelendirilen üç konu, 2.0.3 ve önceki sürümleri etkiler ve aşağıdaki gibidir:

  • CVE-2022-24663 - Abone+ kullanıcıları tarafından kısa kod aracılığıyla Uzaktan Kod Yürütme
  • CVE-2022-24664 - Contributor+ kullanıcıları tarafından metabox aracılığıyla Uzaktan Kod Yürütme
  • CVE-2022-24665 - Gutenberg bloğu aracılığıyla Contributor+ kullanıcıları tarafından Uzaktan Kod Yürütme

Üç güvenlik açığından başarılı bir şekilde yararlanılması, sitenin eksiksiz bir şekilde ele geçirilmesi için kullanılabilecek kötü amaçlı PHP kodunun yürütülmesine neden olabilir.

'PHP Everywhere' Eklentisindeki Kritik RCE Kusurları Binlerce WordPress Sitesini Etkiliyor Click to Tweet

WordPress güvenlik şirketi Wordfence, 4 Ocak'ta eklentinin yazarı Alexander Fuchs'a eksiklikleri açıkladığını ve ardından güvenlik açığı bulunan kodu tamamen kaldırarak 12 Ocak 2022'de 3.0.0 sürümüyle güncellemeler yayınladığını söyledi.

Eklentinin güncellenmiş açıklama sayfasında "Bu eklentinin 3.0.0 sürümüne yapılan güncelleme, [php_everywhere] kısa kodunu ve widget'ını kaldıran son derece önemli bir değişikliktir" yazıyor. "Eski kodunuzu Gutenberg bloklarına taşımak için eklentinin ayarlar sayfasından yükseltme sihirbazını çalıştırın."

3.0.0 sürümünün yalnızca Blok düzenleyici aracılığıyla PHP snippet'lerini desteklediğini belirtmekte fayda var, bu da Klasik Düzenleyici'ye güvenen kullanıcıların eklentiyi kaldırmasını ve özel PHP kodunu barındırmak için alternatif bir çözüm indirmesini zorunlu kılıyor.


Kaynak: https://thehackernews.com/2022/02/critical-rce-flaws-in-php-everywhere.html


Bu içerik ilginizi çektiyse LinkedIn ve Twitter hesaplarımı takip edebilir, daha fazla içeriğe erişebilirsiniz.


E-posta listesine katılın

Siber dünyadaki gelişmelerden haberdar olmak ve haftalık haber bültenine ulaşmak için e-posta listesine kaydolun.

Haber bültenine kaydolduğunuz için teşekkürler!

Something went wrong.

Yorum Bırakın

'PHP Everywhere' Eklentisindeki Kritik RCE Kusurları Binlerce WordPress Sitesini Etkiliyor