Multiples vulnérabilités d’exécution de code à distance dans l’extension WordPress « PHP Everywhere »

  • Auteur/autrice de la publication :
  • Post category:Alertes et Avis

Origine: bjCSIRT

Numéro: 2022/ALERTE/011

Date de l’alerte: 14/02/2022

APERÇU :

Trois vulnérabilités libellées CVE-2022-24663, CVE-2022-24664 et CVE-2022-24665 ont été découvertes dans l’extension WordPress « PHP Everywhere ». L’exploitation de ces failles pourrait permettre à un attaquant distant d’exécuter du code arbitraire.

DESCRIPTION :

« PHP Everywhere » est une extension WordPress destinée à permettre aux administrateurs d’exécuter du code PHP à partir de n’importe quel emplacement du site web.

Toutes les vulnérabilités critiques référencées ci-dessous permettraient à un attaquant d’effectuer une exécution de code à distance à travers éléments de l’extension affectée :

  • CVE-2022-24663 permet à n’importe quel utilisateur de la plateforme cible d’envoyer une demande avec le paramètre «shortcode ».
  • CVE-2022-24664 permet aux utilisateurs contributeurs d’exécuter du code à distance via « metabox».
  • CVE-2022-24665: permet une exécution de code à distance par les utilisateurs contributeurs via le bloc « gutenberg».

La vulnérabilité CVE-2022-24663 est ouverte à une exploitation plus large car elle peut être exploitée par n’importe quel utilisateur. L’exploitation réussie de ces vulnérabilités permettrait à un attaquant d’obtenir un contrôle total du site web vulnérable.

IMPACT :

  • Atteinte à la confidentialité et à l’intégrité des données ;
  • Exécution de code arbitraire.

SYSTEMES AFFECTÉS :

Toutes les versions de « PHP Everywhere » inférieures à 3.0.0 ;

MESURES À PRENDRE :

Il est fortement recommandé de mettre à jour l’extension PHP Everywhere à la version 3.0.0.

REFERENCES :

Partagez sur vos réseaux.