WordPress插件现高危RCE漏洞，仅有50%网站修复

　　WordPress插件现高危RCE漏洞，仅有50%网站修复

　　文| 白开水

　　出品 | OSC开源社区（ID：oschina2013）

　　PHP Everywhere 是一个开源的 WordPress 插件，近日该插件被披露存在三个严重的安全漏洞，该插件已被全球超过 3 万个网站使用，攻击者可在受影响的网站上利用该漏洞，执行任意代码。

　　PHP Everywhere 可以随时随地启用 WordPress 上的 PHP 代码，使用户能够在内容管理系统的页面、帖子和侧边栏中插入和执行基于 PHP 的代码，该插件还支持不同的用户限制和多个 PHP 实例。这三个漏洞在 CVSS 评级系统中都被评为 9.9 分（最高 10 分），影响了 2.0.3 及以下版本，漏洞具体细节如下：如果网站存在这三个漏洞，黑客将可以利用它们并执行恶意的 PHP 代码，甚至可以实现对网站的完全接管。WordPress 安全公司 Wordfence 在 1 月 4 日就向该插件的作者 Alexander Fuchs 披露了上述这些漏洞，随后在 1 月 12 日发布了 3.0.0 版本的更新中，已完全删除了有漏洞的代码。PHP Everywhere 的更新说明显示：

　　这个插件的 3.0.0 版本更新具有重大变化，移除了 PHP Everywhere 的简码和小组件。从该插件的设置页面运行升级向导，将你的旧代码迁移到 Gutenberg 块。

　　需要注意的是，3.0.0 版本只支持通过块编辑器（Block editor）的 PHP 代码片段，这使得仍然依赖经典编辑器的用户必须卸载该插件，并下载一个替代解决方案来托管自定义 PHP 代码。根据 WordPress 的统计数据显示，自修复错误以来，目前仅有 1.5 万个网站更新了该插件。

　　往期精彩回顾

　　觉得不错，请点个在看呀