Kerentanan RCE pada PHP Everywhere Mengancam Ribuan Situs WordPress

Para peneliti menemukan tiga kerentanan remote code execution (RCE) dengan kategori kritis di plugin 'PHP Everywhere' untuk WordPress, yang digunakan oleh lebih dari 30.000 situs web di seluruh dunia. Tiga kerentanan ditemukan oleh analis keamanan di Wordfence dan dapat dieksploitasi oleh pengguna yang memengaruhi semua versi WordPress dari 2.0.3 dan di bawahnya. Ketiga kerentanan tersebut terdaftar sebagai CVE-2022-24663, CVE-2022-24664, dan CVE-2022-24665 dengan nilai kerentanannya berdasarkan CVSS yaitu 9,9. Dua kelemahan terakhir tidak mudah dieksploitasi karena memerlukan izin tingkat kontributor, kerentanan pertama jauh lebih terbuka untuk eksploitasi yang lebih luas karena dapat dieksploitasi hanya dengan menjadi subscriber di situs.

Oleh karena itu, karena beratnya kerentanan ini, semua pengguna PHP Everywhere sangat disarankan untuk memastikan mereka telah memperbarui ke PHP Everywhere versi 3.0.0, yang merupakan versi terbaru yang tersedia saat ini .

Perhatikan bahwa jika Anda menggunakan Editor Klasik di situs Anda, Anda harus menghapus plugin tersebut dan mencari solusi lain untuk menghosting kode PHP khusus pada komponennya.

Itu karena versi 3.0.0 hanya mendukung potongan kode PHP melalui editor Blok, dan kecil kemungkinan pembuatnya akan berupaya memulihkan fungsionalitas untuk Klasik yang sudah tidak berlaku lagi.

Sumber : https://www.bleepingcomputer.com/news/security/php-everywhere-rce-flaws-threaten-thousands-of-wordpress-sites/