WordPress PHP Everywhere 플러그인의 치명적인 RCE 취약점, 사이트 수천 곳에 영향 미쳐

Critical RCE flaws in PHP Everywhere WordPress plugin affect thousands of sites

 

Wordfence의 전문가들이 PHP Everywhere WordPress 플러그인에서 치명적인 원격 코드 실행 취약점 3가지를 발견했으며, 모든 이슈는 CVSS 점수 9.9점을 받았습니다.

 

WordPress는 관리자가 페이지, 게시물, 사이드바, Gutenberg 블록에 PHP 코드를 삽입하여 평가된 PHP 표현식을 기반으로 동적 콘텐츠를 표시할 수 있는 플러그인입니다.

 

Wordfence에서는 권고문을 발행하여 아래와 같이 밝혔습니다.

 

“2022년 1월 4일 Wordfence 위협 인텔리전스 팀은 웹사이트 30,000곳 이상에 설치된 WordPress 플러그인인 PHP Everywhere의 원격 코드 실행 취약점 다수를 책임감 있게 공개하기 위한 작업을 시작했습니다. 해당 취약점 중 하나는 모든 레벨의 인증된 사용자, 심지어 가입자와 고객이 플러그인이 설치된 사이트에서 코드를 실행할 수 있도록 허용합니다."

 

"이 취약점은 매우 심각하기 때문에, 플러그인 제작자에게 연락을 취했을 뿐만 아니라 WordPress 플러그인 저장소에도 발견 사실을 전달했습니다."

 

해당 플러그인은 전 ​​세계적으로 웹사이트 30,000곳 이상에서 사용되며, 공격자는 이 세 가지 취약점을 악용하여 취약한 시스템에서 임의 코드를 실행할 수 있습니다.

 

다음은 버전 2.0.3 이하에 영향을 미치는 세 가지 취약점 목록입니다.

 

CVE-2022-24663 – 모든 가입자가 악용 가능한 원격 코드 실행 취약점으로 'shortcode' 파라미터가 PHP Everywhere로 설정된 요청을 보내고, 사이트에서 임의 PHP 코드를 실행 가능

CVE-2022-24664 – 기여자가 플러그인의 메타박스를 통해 악용할 수 있는 원격 코드 실행 취약점으로 공격자는 게시물을 작성하여 PHP 코드 메타박스를 추가한 다음 미리보기 가능

CVE-2022-24665 – Gutenberg 블록을 사용할 수 있는 'edit_posts' 기능이 있는 기여자가 악용 가능한 원격 코드 실행 취약점

 

개발팀은 지난 1월 버전 3.0.0을 출시하여 이 취약점을 패치했습니다.

 

전문가들은 버전 3.0.0이 블록 편집기를 통해서만 PHP 스니펫을 지원한다고 지적했습니다. 따라서 여전히 클래식 편집기를 사용할 경우 플러그인을 제거하고 사용자 정의 PHP 코드를 사용하기 위해 다른 솔루션을 사용해야 합니다.

 

 

 

 

출처:

https://securityaffairs.co/wordpress/127848/hacking/rce-php-everywhere-wordpress-plugin.html

https://www.wordfence.com/blog/2022/02/critical-vulnerabilities-in-php-everywhere-allow-remote-code-execution/