Kerentanan keamanan ditemukan pada plugin WordPress “PHP Everywhere” yang digunakan 30.000 situs web, celah ini digunakan penyerang untuk mengeksekusi kode pada sistem web yang terpasang plugin ini.
PHP Everywhere digunakan pengembang web untuk mengaktifkan kode PHP di seluruh instalasi WordPress, sehingga pengembang dapat memasukkan dan mengeksekusi kode berbasis PHP di Halaman, Postingan, dan Sidebar pada CMS WordPress.
Celah kerentanan keamanan berada di peringkat 9,9 (maksimum 10) pada pemeringkat CVSS, adapun dampak versi 2.0.3 dan sebelumnya, sebagai berikut :
- CVE-2022-24663 – Kelemahan ini dimungkinkan untuk mengeksekusi kode melalui remote sehingga pengguna manapun diizinkan mengeksploitasi permintaan eksekusi parameter ‘shortcode’ yang disetel di PHP Everywhere, dan mengeksekusi semua kode PHP di situs. (CVSS v3 score: 9.9)
- CVE-2022-24664 – Kerentanan RCE dapat dieksploitasi oleh kontributor melalui metabox plugin. Penyerang akan membuat postingan, menambahkan metabox kode PHP, dan kemudian menampilkan. (CVSS v3 score: 9.9)
- CVE-2022-24665 – Cacat RCE dapat dieksploitasi oleh kontributor yang memiliki kemampuan ‘edit_posts’ dan dapat menambahkan blok PHP Everywhere Gutenberg. Pengaturan keamanan default pada versi plugin yang rentan tidak pada ‘hanya admin’ sebagaimana mestinya. (CVSS v3 score: 9.9)
Eksploitasi yang sukses dari tiga kerentanan dapat akibatkan eksekusi kode PHP berbahaya yang dimanfaatkan untuk mencapai pengambilalihan situs secara lengkap.
Perusahaan keamanan WordPress Wordfence mengungkapkan kekurangannya kepada penulis plugin, Alexander Fuchs, pada 4 Januari, menyusul pembaruan yang dikeluarkan pada 12 Januari 2022 dengan versi 3.0.0 dengan menghapus seluruh kode yang rentan.
“Pembaruan ke versi 3.0.0 dari plugin ini adalah perubahan besar yang menghapus kode pendek dan widget [php_everywhere],” halaman deskripsi plugin yang diperbarui sekarang berbunyi. “Jalankan wizard pemutakhiran dari halaman pengaturan plugin untuk memigrasikan kode lama Anda ke blok Gutenberg.”
Perlu dicatat bahwa versi 3.0.0 hanya mendukung cuplikan PHP melalui editor Blok, yang mengharuskan pengguna yang masih mengandalkan Editor Klasik untuk mencopot pemasangan plugin dan mengunduh solusi alternatif untuk menghosting kode PHP khusus.
Dikutip dari TheHackerNews dan BleepingComputer