Des vulnérabilités d’exécution de code à distance dans l’extension WordPress « PHP Everywhere »
Trois vulnérabilités libellées CVE-2022-24663, CVE-2022-24664 et CVE-2022-24665 ont été découvertes dans l’extension WordPress « PHP Everywhere ». L’exploitation de ces failles pourrait permettre à un attaquant distant d’exécuter du code arbitraire.
« PHP Everywhere » est une extension WordPress destinée à permettre aux administrateurs d’exécuter du code PHP à partir de n’importe quel emplacement du site web.
Toutes les vulnérabilités critiques référencées ci-dessous permettraient à un attaquant d’effectuer une exécution de code à distance à travers éléments de l’extension affectée :
- CVE-2022-24663 permet à n’importe quel utilisateur de la plateforme cible d’envoyer une demande avec le paramètre «shortcode »
- CVE-2022-24664 permet aux utilisateurs contributeurs d’exécuter du code à distance via «metabox»
- CVE-2022-24665: permet une exécution de code à distance par les utilisateurs contributeurs via le bloc «gutenberg»
La vulnérabilité CVE-2022-24663 est ouverte à une exploitation plus large car elle peut être exploitée par n’importe quel utilisateur. L’exploitation réussie de ces vulnérabilités permettrait à un attaquant d’obtenir un contrôle total du site web vulnérable.
IMPACT
- Atteinte à la confidentialité et à l’intégrité des données
- Exécution de code arbitraire
SYSTEMES AFFECTÉS
- Toutes les versions de « PHP Everywhere » inférieures à 3.0.0
MESURES À PRENDRE
- Il est fortement recommandé de mettre à jour l’extension PHP Everywhere à la version 3.0.0.
Source : Github Wordpress