Las vulnerabilidades críticas de seguridad se han revelado en un conector de WordPress conocido como PHP Everywhere que es utilizado por más de 30.000 páginas web en todo el mundo y podría ser abusado por un atacante para ejecutar código arbitrario en sistemas afectados.
PHP Everywhere se utiliza para invertir el interruptor de código PHP a través de las instalaciones del WordPress, permitiendo a los usuarios insertar y ejecutar el código basado en PHP en las páginas, publicaciones y barra lateral del sistema de gestión de contenidos.
Una explotación exitosa de las vulnerabilidades podría resultar en la ejecución de un código PHP malicioso que podría aprovecharse para conseguir una adquisición completa del lugar.
La empresa de seguridad WordPress Wordfence dijo que reveló las deficiencias al autor del conector, Alexander Fuchs, el 4 de enero, después de las cuales se publicaron las actualizaciones el 12 de enero de 2022 con la versión 3.0.0 eliminando completamente el código vulnerable.
«La actualización a la versión 3.0.0 de este conector es un cambio de ruptura que elimina el código y el enser widgetphp.everywhere.,» ahora lee la página de descripción actualizada del conector. «Expulsa el auxiliar de actualización de la página de configuración del conector para migrar el código antiguo a los bloques de Gutenberg.»
Merece la pena señalar que la versión 3.0.0 solo soporta fragmentos de PHP a través del editor de bloques, lo cual requiere que los usuarios que todavía dependen del editor clásico desinstalen el conector y descarguen una solución alternativa para el alojamiento de código PHP personalizado.
¿Te ha gustado? a alguien más le puede gustar, compártelo