Los investigadores de Wordfence han encontrado vulnerabilidades críticas en un popular complemento de WordPress llamado PHP Everywhere, que afecta a miles de sitios web.
El error de ejecución de código remoto en uno de los errores encontrados permite que incluso un suscriptor general inyecte código PHP malicioso en un sitio de destino. Los sitios web que tienen este complemento y se ejecutan en WordPress v2.0.3 y versiones anteriores son vulnerables, dicen los investigadores. Sin embargo, hay una actualización del parche disponible.
Error de RCE en un complemento de WordPress
En la rutina de encontrar nuevos errores que afecten a los sitios de WordPress, El equipo de Wordfence ha encontrado tres vulnerabilidades críticas en un complemento popular llamado PHP Everywhere. Según los investigadores, más de 30.000 sitios web de WordPress lo utilizan actualmente.
Sus hallazgos incluyen lo siguiente:
- CVE-2022-24664 – Vulnerabilidad de RCE que pueden explotar los colaboradores a través del metabox del complemento. Un atacante crearía una publicación, agregaría un metabox de código PHP y luego obtendría una vista previa de la misma. (Puntuación CVSS v3: 9,9)
- CVE-2022-24663 – Falla de ejecución de código remoto que cualquier suscriptor puede explotar al permitirle enviar una solicitud con el parámetro &39;shortcode&39; configurado en PHP Everywhere y ejecutar código PHP arbitrario en el sitio. (Puntuación CVSS v3: 9,9)
- CVE-2022-24665 – Falla de RCE que pueden explotar los colaboradores que tienen la capacidad &39;edit_posts&39; y pueden agregar bloques Gutenberg de PHP Everywhere. La configuración de seguridad predeterminada en las versiones vulnerables del complemento no está en &39;admin-only&39; como debería estar. (Puntuación CVSS v3: 9,9)
Es inusual que los tres errores tengan puntuaciones de gravedad muy altas (9,9/10), y que estén al acecho sin que los desarrolladores lo sepan. El tercer error de la lista anterior es incluso más crítico, ya que puede ser explotado por un suscriptor.
Cualquiera que se registre como suscriptor general de un sitio de destino puede tener el privilegio de ejecutar código PHP malicioso, lo que en última instancia puede llevar a la toma de control del sitio. Aunque los dos primeros errores requieren al menos acceso de colaborador al sitio de destino, siguen siendo importantes.
El equipo de Wordfence detectó estas vulnerabilidades el 4 de enero de 2022 e informó de inmediato al creador de PHP Everywhere. Aunque el autor publicó parches para estos errores el 10 de enero de 2022, sigue siendo responsabilidad de los propietarios de los sitios de WordPress actualizar el complemento desde su lado.
Y para tener en cuenta, la actualización del parche actual (versión 3.0.0) solo es bueno para sitios con editores de bloques, dejando vulnerables a aquellos con editores clásicos. A partir de ahora, Se encontró que solo la mitad del total de 30.000 sitios han actualizado este complemento.