Des vulnérabilités d’exécution de code à distance dans l’extension WordPress « PHP Everywhere »

Trois vulnérabilités libellées CVE-2022-24663, CVE-2022-24664 et CVE-2022-24665 ont été découvertes dans l’extension WordPress « PHP Everywhere ». L’exploitation de ces failles pourrait permettre à un attaquant distant d’exécuter du code arbitraire.

« PHP Everywhere » est une extension WordPress destinée à permettre aux administrateurs d’exécuter du code PHP à partir de n’importe quel emplacement du site web.

Toutes les vulnérabilités critiques référencées ci-dessous permettraient à un attaquant d’effectuer une exécution de code à distance à travers éléments de l’extension affectée :

• CVE-2022-24663 permet à n’importe quel utilisateur de la plateforme cible d’envoyer une demande avec le paramètre «shortcode »
• CVE-2022-24664 permet aux utilisateurs contributeurs d’exécuter du code à distance via «metabox»
• CVE-2022-24665: permet une exécution de code à distance par les utilisateurs contributeurs via le bloc «gutenberg»

La vulnérabilité CVE-2022-24663 est ouverte à une exploitation plus large car elle peut être exploitée par n’importe quel utilisateur. L’exploitation réussie de ces vulnérabilités permettrait à un attaquant d’obtenir un contrôle total du site web vulnérable.

IMPACT 

• Atteinte à la confidentialité et à l’intégrité des données 
• Exécution de code arbitraire

SYSTEMES AFFECTÉS 

• Toutes les versions de « PHP Everywhere » inférieures à 3.0.0

MESURES À PRENDRE

• Il est fortement recommandé de mettre à jour l’extension PHP Everywhere à la version 3.0.0.

Source : Github Wordpress