Se han hecho públicas vulnerabilidades críticas de ejecución remota de código (RCE) en un complemento popular de WordPress.
Los errores de RCE afectan a PHP Everywhere, una utilidad para que los desarrolladores web puedan usar código PHP en páginas, publicaciones, la barra lateral o en cualquier lugar con un bloque de Gutenberg (bloques de editor en WordPress) en dominios que usan el sistema de administración de contenido (CMS).
El complemento se utiliza en más de 30.000 sitios web.
Según el equipo de WordFence Threat Intelligence, las tres vulnerabilidades en PHP Everywhere conducen a la ejecución remota de código en versiones del software anteriores a la 2.0.3.
La primera vulnerabilidad se rastrea como CVE-2022-24663 y se le ha emitido un puntaje de gravedad CVSS de 9.9.
WordPress permite a los usuarios autenticados ejecutar códigos cortos a través de la acción AJAX parse-media-shortcode. En este caso, si los usuarios que iniciaron sesión, incluso si casi no tienen permisos, como si fueran suscriptores, se podría enviar un parámetro de solicitud diseñado para ejecutar PHP arbitrario, lo que llevaría a la toma completa del sitio web.
CVE-2022-24664, también emitió una puntuación de gravedad de 9,9, es la segunda vulnerabilidad RCE revelada por los investigadores de seguridad. Esta vulnerabilidad se encontró en la forma en que PHP Everywhere administra los metaboxes (cuadros de edición que se pueden arrastrar) y cómo el software permite que cualquier usuario con la capacidad edit_posts use estas funciones.
«Los usuarios de nivel de colaborador que no son de confianza podrían usar el metabox de PHP Everywhere para lograr la ejecución del código en un sitio creando una publicación, agregando código PHP al metabox de PHP Everywhere y luego obteniendo una vista previa de la publicación», dice WordFence. «Si bien esta vulnerabilidad tiene el mismo puntaje CVSS que la vulnerabilidad de shortcode, es menos grave, ya que requiere permisos de nivel de colaborador».
La tercera vulnerabilidad se rastrea como CVE-2022-24665 y también se ha emitido 9.9 en la escala de gravedad. Todos los usuarios con permisos edit_posts pueden usar los bloques PHP Everywhere Gutenberg, y los atacantes podrían alterar la funcionalidad de un sitio web ejecutando código PHP arbitrario a través de estas funciones.
Era posible configurar esta función solo para los administradores, pero en las versiones del software anteriores a la 2.0.3, esto no se podía implementar de forma predeterminada.
WordFence reveló las vulnerabilidades al desarrollador el 4 de enero, quien desarrolló rápidamente un conjunto de correcciones. El 10 de enero, se lanzó una versión parcheada del complemento, v.3.0.0.
El desarrollador, Alexander Fuchs, dice que la actualización ha causado un «cambio importante» debido a la eliminación necesaria de algunas funciones del editor de bloques, por lo que los usuarios que enfrentan problemas, como si dependen del Editor clásico, también deberán actualizar. código antiguo a los bloques de Gutenberg o encuentre otra solución para ejecutar PHP.
Al momento de escribir este artículo, poco más del 30 % de los usuarios se han actualizado, y muchos sitios web aún ejecutan versiones vulnerables del complemento.
Cobertura anterior y relacionada
¿Tienes un consejo? Póngase en contacto de forma segura a través de WhatsApp | Señal al +447713 025 499, o más en Keybase: charlie0