RCE-уязвимости в плагине PHP Everywhere угрожают тысячам сайтов на WordPress
Специалисты WordFence обнаружили три опасные RCE-уязвимости в популярном плагине PHP Everywhere, который используется на 30 000 сайтов на базе WordPress.
Все баги получили 9,9 балла из 10 возможных по шкале оценки уязвимостей CVSS и могут использоваться для удаленного выполнения произвольного кода.
Как нетрудно догадаться по названию, PHP Everywhere упрощает администраторам WordPress-сайтов внедрение кода PHP на любые страницы, боковую панель, в сообщения или любой блок Гутенберга.
Проблемы, найденные специалистами, могут эксплуатировать как контрибьюторы, так и простые подписчики, причем баги представляют опасность для всех версий WordPress начиная от 2.0.3 и ниже.