远程执行代码缺陷的严重性非常严重。

流行的WordPress插件中的关键远程执行代码（RCE）漏洞已被公开。

RCE错误会影响PHP Everywhere，这是一个Web开发人员能够在页面，帖子，侧边栏或任何带有Gutenberg块（WordPress中的编辑器块）的地方使用PHP代码的实用程序，用于使用内容管理系统（CMS）的域。

该插件在超过30，000个网站上使用。

根据WordFence威胁情报团队的说法，PHP Everywhere中的三个漏洞都会导致2.0.3以下的软件版本远程执行代码。

第一个漏洞的跟踪代码为 CVE-2022-24663，其 CVSS 严重性评分为 9.9。

WordPress允许经过身份验证的用户通过解析媒体短代码AJAX操作执行短代码。在这种情况下，如果登录的用户 – 即使他们几乎没有权限，例如如果他们是订阅者 – 可以发送精心设计的请求参数来执行任意PHP，从而导致完全网站接管。

CVE-2022-24664也发布了9.9的严重性评分，是安全研究人员披露的第二个RCE漏洞。此漏洞存在于 PHP Everywhere 如何管理元框（可拖动的编辑框）以及软件如何允许任何具有edit_posts功能的用户使用这些功能中。

WordFence说：”不受信任的贡献者级用户可以使用PHP Everywhere元框在网站上实现代码执行，方法是创建一个帖子，将PHP代码添加到PHP Everywhere元框中，然后预览该帖子。”虽然此漏洞具有与短代码漏洞相同的CVSS分数，但它的严重程度较低，因为它需要贡献者级别的权限。

第三个漏洞被跟踪为 CVE-2022-24665，并且还发布了 9.9 的严重性等级。所有具有edit_posts权限的用户都可以使用 PHP Everywhere Gutenberg 阻止，攻击者可以通过这些功能执行任意 PHP 代码来篡改网站的功能。

可以将此功能仅设置为管理员，但在低于 2.0.3 软件版本中，默认情况下无法实现此功能。

WordFence于1月4日向开发人员披露了这些漏洞，开发人员迅速开发了一组修复程序。1月10日，该插件的修补版本v.3.0.0推出。

开发人员Alexander Fuchs表示，由于有必要删除某些块编辑器功能，因此该更新导致了”重大更改”，因此面临问题的用户 – 例如，如果他们依赖于经典编辑器 – 还需要将旧代码升级到Gutenberg块或找到另一个解决方案来运行PHP。

在撰写本文时，超过30%的用户已经升级，因此许多网站仍在运行该插件的易受攻击版本。