PT-2022-1625 · WordPress+1 · Wordpress+1
Ramuel Gall
·
Publicado
2022-01-04
·
Atualizado
2022-02-24
·
CVE-2022-24664
CVSS v3.1
9.9
Crítica
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
PHP Everywhere versões 2.0.3 e anteriores
Descrição
O problema está relacionado ao gerenciamento incorreto da geração de código no plugin PHP Everywhere, especificamente com a funcionalidade edit posts. Isso poderia permitir que um invasor remoto executasse código arbitrário usando metaboxes. O problema decorre da funcionalidade do plugin que permite a execução de trechos de código PHP por meio de metaboxes do WordPress, que podem ser utilizados por qualquer usuário com permissão para editar publicações.
Recomendações
Para as versões 2.0.3 e anteriores do PHP Everywhere, atualize para uma versão posterior à 2.0.3 para resolver o problema.
Como solução temporária, considere restringir o acesso à funcionalidade das metaboxes para minimizar o risco de exploração.
Correção
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Php Everywhere
Wordpress