Origine: bjCSIRT
Numéro: 2022/ALERTE/011
Date de l’alerte: 14/02/2022
APERÇU :
Trois vulnérabilités libellées CVE-2022-24663, CVE-2022-24664 et CVE-2022-24665 ont été découvertes dans l’extension WordPress « PHP Everywhere ». L’exploitation de ces failles pourrait permettre à un attaquant distant d’exécuter du code arbitraire.
DESCRIPTION :
« PHP Everywhere » est une extension WordPress destinée à permettre aux administrateurs d’exécuter du code PHP à partir de n’importe quel emplacement du site web.
Toutes les vulnérabilités critiques référencées ci-dessous permettraient à un attaquant d’effectuer une exécution de code à distance à travers éléments de l’extension affectée :
- CVE-2022-24663 permet à n’importe quel utilisateur de la plateforme cible d’envoyer une demande avec le paramètre «shortcode ».
- CVE-2022-24664 permet aux utilisateurs contributeurs d’exécuter du code à distance via « metabox».
- CVE-2022-24665: permet une exécution de code à distance par les utilisateurs contributeurs via le bloc « gutenberg».
La vulnérabilité CVE-2022-24663 est ouverte à une exploitation plus large car elle peut être exploitée par n’importe quel utilisateur. L’exploitation réussie de ces vulnérabilités permettrait à un attaquant d’obtenir un contrôle total du site web vulnérable.
IMPACT :
- Atteinte à la confidentialité et à l’intégrité des données ;
- Exécution de code arbitraire.
SYSTEMES AFFECTÉS :
Toutes les versions de « PHP Everywhere » inférieures à 3.0.0 ;
MESURES À PRENDRE :
Il est fortement recommandé de mettre à jour l’extension PHP Everywhere à la version 3.0.0.
REFERENCES :
