Les vulnerabilitats crítiques de seguretat s’han revelat en un connector de WordPress conegut com a PHP Everywhere que és utilitzat per més de 30.000 pàgines web a tot el món i podria ser abusat per un atacant per executar codi arbitrari en sistemes afectats.
PHP Everywhere s’utilitza per invertir l’interruptor de codi PHP a través de les instal·lacions del WordPress, permetent als usuaris inserir i executar el codi basat en PHP a les pàgines, publicacions i barra lateral del sistema de gestió de continguts.
Una explotació reeixida de les vulnerabilitats podria resultar en l’execució d’un codi PHP maliciós que podria aprofitar-se per aconseguir una adquisició completa del lloc.
L’empresa de seguretat WordPress Wordfence va dir que va revelar les deficiències a l’autor del connector, Alexander Fuchs, el 4 de gener, després de les quals es van publicar les actualitzacions el 12 de gener de 2022 amb la versió 3.0.0 eliminant completament el codi vulnerable.
“L’actualització a la versió 3.0.0 d’aquest connector és un canvi de ruptura que elimina el codi i l’estri widgetphp.everywhere.,” ara llegeix la pàgina de descripció actualitzada del connector. “Expulsa l’auxiliar d’actualització de la pàgina de configuració del connector per migrar el codi antic als blocs de Gutenberg.”
Val la pena assenyalar que la versió 3.0.0 només suporta fragments de PHP a través de l’editor de blocs, la qual cosa requereix que els usuaris que encara depenen de l’editor clàssic desinstal·lin el connector i descarreguin una solució alternativa per a l’allotjament de codi PHP personalitzat.