安全漏洞提醒:如果你的 WordPress 安装了这个插件,请赶快升级或者删除
如果你的 WordPress 安装了这个插件,请赶快升级或者删除
如果你的 WordPress 安装了 PHP Everywhere,那么你要赶快升级到 3.0 版本或者删除了,因为近日该插件被披露存在三个严重的安全漏洞,攻击者可在受影响的网站上利用该漏洞,执行任意代码。 PHP Everywhere 插件 PHP Everywhere 可以让你在 WordPress 随时随地使用 PHP 代码,使用户能够在 WordPress 的文章,页面和侧边栏中插入和执行 PHP 的代码,根据 WordPress 官方插件库的数据,该插件已被 3 万多个 WordPress 站点使用。 三个严重级的远程代码执行漏洞 这三个漏洞在 CVSS 评级系统中都被评为 9.9 分(最高 10 分),影响了 PHP Everywhere 插件 2.0.3 及以下版本,漏洞具体细节如下:- CVE-2022-24663 - 只要订阅者权限的用户就可以通过短代码进行远程代码执行。
- CVE-2022-24664 - 通过编辑界面的窗体进行远程代码执行(该漏洞需要贡献者的权限,因此严重程度较低)。
- CVE-2022-24665 - 通过古腾堡编辑器块进行远程代码执行(同样需要贡献者的权限)