https://www.zdnet.com/article/php-everywhere-wordpress-plugin-code-execution-bug-impacts-thousands-of-websites/#ftag=RSSbaffb68
人気のあるWordPressプラグインの重大なリモートコード実行(RCE)の脆弱性が公開されました。
これは、コンテンツ管理システム(CMS)を使用するドメインで、ページ、投稿、サイドバー、またはGutenbergブロック(WordPressのエディターブロック)を使用して、Web開発者がPHPコードを使用できるようにするためのユーティリティです。
WordFence脅威インテリジェンスチームによると、PHP Everywhereの3つの脆弱性はすべて、2.0.3より前のバージョンのソフトウェアでリモートコード実行を引き起こします。
「この脆弱性のCVSSスコアはショートコードの脆弱性と同じですが、寄稿者レベルのアクセス許可が必要なため、それほど深刻ではありません。」
editposts権限を持つすべてのユーザーは、PHP Everywhere Gutenbergブロックを使用でき、攻撃者はこれらの機能を介して任意のPHPコードを実行することにより、Webサイトの機能を改ざんする可能性があります。
これを書いている時点では、ユーザーの30%強がアップグレードしており、非常に多くのWebサイトが依然として脆弱なバージョンのプラグインを実行しています。
PHP Everywhereコード実行のバグは、何千ものWordPressWebサイトに影響を与えます
security summary
コメント