Así lo anunció el portal especializado The Hacker News el pasado 9 de febrero en el artículo que relacionamos a continuación traducido y presentado como eco de esta importante noticia para todos los usuarios de WordPress de habla hispana.
Las vulnerabilidades de seguridad críticas se han revelado en un complemento de WordPress conocido como PHP Everywhere que es utilizado por más de 30,000 sitios web en todo el mundo y podría ser abusado por un atacante para ejecutar código arbitrario en los sistemas afectados.
PHP Everywhere se utiliza para activar el código PHP en las instalaciones de WordPress, lo que permite a los usuarios insertar y ejecutar código basado en PHP en las páginas, publicaciones y barra lateral del sistema de administración de contenido.
Los tres números, todos calificados con 9.9 de un máximo de 10 en el sistema de calificación CVSS, afectan a las versiones 2.0.3 e inferiores, y son los siguientes:
CVE-2022-24663 – Ejecución remota de código por usuarios de Subscriber+ a través de shortcode
CVE-2022-24664 – Ejecución remota de código por usuarios de Contributor+ a través de metabox, y
CVE-2022-24665 – Ejecución remota de código por usuarios de Contributor+ a través del bloque gutenberg
La explotación exitosa de las tres vulnerabilidades podría resultar en la ejecución de código PHP malicioso que podría aprovecharse para lograr una toma de control completa del sitio.
La compañía de seguridad de WordPress Wordfence dijo que reveló las deficiencias al autor del complemento, Alexander Fuchs, el 4 de enero, después de lo cual se emitieron actualizaciones el 12 de enero de 2022 con la versión 3.0.0 al eliminar el código vulnerable por completo.
«La actualización a la versión 3.0.0 de este complemento es un cambio radical que elimina el código corto y el widget [php_everywhere]», se lee ahora en la página de descripción actualizada del complemento. «Ejecute el asistente de actualización desde la página de configuración del complemento para migrar su código antiguo a los bloques de Gutenberg».
Vale la pena señalar que la versión 3.0.0 solo admite fragmentos de PHP a través del editor de bloques, lo que requiere que los usuarios que aún confían en el Editor clásico desinstalen el complemento y descarguen una solución alternativa para alojar código PHP personalizado.