Kritische Schwachstellen in PHP Everywhere ermöglichen Remote Code Execution

4. März 2022

Am 4. Januar 2022 begann das Wordfence Threat Intelligence Team mit der verantwortungsvollen Offenlegung mehrerer Sicherheitslücken in PHP Everywhere, einem WordPress-Plugin, das auf über 30.000 Websites installiert ist. Eine dieser Schwachstellen ermöglichte jede authentifizierter Benutzer jeder Stufe, sogar Abonnenten und Kunden, Code auf einer Website ausführen, auf der das Plugin installiert ist. Da die Schwachstellen einen kritischen Schweregrad haben, haben wir das WordPress-Plugin-Repository kontaktiert und den Plugin-Autor kontaktiert.

Wir erhielten innerhalb weniger Stunden eine Antwort vom Autor des Plugins und schickten ihm die vollständige Meldung. Eine weitgehend überarbeitete Version des Plugins wurde am 10. Januar 2022 zur Verfügung gestellt.

Wordfence Premium Nutzer erhielten noch am selben Tag, am 4. Januar 2022, eine Firewall-Regel, die vor diesen Sicherheitslücken schützt.

Wir haben kürzlich Wordfence Care and Response. Diese beiden neuen Produkte erhalten ebenfalls Echtzeit-Updates zu Bedrohungsdaten, waren aber am 4. Januar noch nicht verfügbar. Wordfence Care und Wordfence Antwort Kunden haben die Firewall-Regel sofort nach der Anmeldung erhalten und werden auch weiterhin Firewall-Regeln und andere Echtzeit-Bedrohungsdaten erhalten, sobald diese veröffentlicht werden.

Websites, die noch die kostenlose Version von Wordfence erhielt den gleichen Schutz 30 Tage nach der ersten Veröffentlichung, am 3. Februar 2022.

Was sollte ich tun, wenn ich PHP Everywhere verwende?

Wenn du die PHP everywhere pluginmusst du unbedingt auf die neueste Version aktualisieren, die zum Zeitpunkt der Erstellung dieses Artikels 3.0.0 ist, um zu verhindern, dass deine Website ausgenutzt wird. Leider unterstützt Version 3.0.0 nur PHP-Snippets über den Block-Editor. Wenn du also den klassischen Editor verwendest, musst du das Plugin deinstallieren und eine andere Lösung finden. Ältere Versionen von PHP Everywhere solltest du unter keinen Umständen weiter benutzen.

Beschreibung: Remote Code Execution durch Subscriber+ Benutzer über Shortcode
Betroffenes Plugin: PHP Everywhere
Plugin Slug: php-everywhere
Plugin-Entwickler: Alexander Fuchs
Betroffene Versionen:
CVE-ID: CVE-2022-24663
CVSS-Score: 9.9(Kritisch)
CVSS-Vektor: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Forscher/-in: Ramuel Gall
Vollständig gepatchte Version: 3.0.0

PHP Everywhere ist ein WordPress-Plugin, das es Website-Besitzern ermöglichen soll, PHP-Code überall auf ihrer Website auszuführen. Es enthält eine Funktion, die die Ausführung von PHP-Code-Snippets über WordPress-Shortcodes ermöglicht. Leider erlaubt WordPress jedem authentifizierten Benutzer, Shortcodes über die parse-media-shortcode AJAX-Aktion auszuführen, und einige Plugins erlauben auch die unauthentifizierte Ausführung von Shortcodes. So war es für jeden angemeldeten Benutzer möglich, selbst für einen Benutzer mit fast keinen Rechten, wie z. B. einen Abonnenten oder Kunden, beliebiges PHP auf einer Website auszuführen, indem er eine Anfrage mit der shortcode Parameter auf [php_everywhere]<arbitrary PHP>[/php_everywhere]. Die Ausführung von beliebigem PHP auf einer Website ermöglicht normalerweise die vollständige Übernahme der Website.

Beschreibung: Remote Code Execution durch Contributor+ Benutzer über Metabox
Betroffenes Plugin: PHP Everywhere
Plugin Slug: php-everywhere
Plugin-Entwickler: Alexander Fuchs
Betroffene Versionen:
CVE-ID: CVE-2022-24664
CVSS-Score: 9.9(Kritisch)
CVSS-Vektor: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Forscher/-in: Ramuel Gall
Vollständig gepatchte Version: 3.0.0

Standardmäßig erlaubte das PHP Everywhere-Plugin allen Nutzern mit dem edit_posts Fähigkeit, die PHP Everywhere-Metabox zu nutzen.

Leider bedeutete dies, dass nicht vertrauenswürdige Benutzer auf Contributor-Ebene die PHP Everywhere-Metabox nutzen konnten, um Code auf einer Website auszuführen, indem sie einen Beitrag erstellten, PHP-Code in die PHP Everywhere-Metabox einfügten und dann eine Vorschau des Beitrags anzeigten. Diese Schwachstelle hat zwar denselben CVSS-Score wie die Shortcode-Schwachstelle, ist aber weniger schwerwiegend, da sie Berechtigungen auf Beitragsebene erfordert, die ein gewisses Maß an Vertrauen voraussetzen und schwieriger zu erlangen sind als Berechtigungen auf Abonnentenebene. Das liegt daran, dass das CVSS-Scoring-System im Feld "Erforderliche Berechtigungen" die Stufe "Mittel" nicht zulässt.

Beschreibung: Remote Code Execution durch Contributor+ Benutzer über den Gutenberg-Block
Betroffenes Plugin: PHP Everywhere
Plugin Slug: php-everywhere
Plugin-Entwickler: Alexander Fuchs
Betroffene Versionen:
CVE-ID: CVE-2022-24665
CVSS-Score: 9.9(Kritisch)
CVSS-Vektor: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Forscher/-in: Ramuel Gall
Vollständig gepatchte Version: 3.0.0

Standardmäßig erlaubte das PHP Everywhere-Plugin allen Nutzern mit dem edit_posts Fähigkeit, den PHP Everywhere Gutenberg-Block zu nutzen. Es war zwar möglich, diese Einstellung auf "nur für Administratoren" zu setzen, aber das war nicht standardmäßig möglich, weil die Version 2.0.3 keine Fähigkeitsprüfungen hinzufügen konnte, ohne den Gutenberg-Block-Editor zu deaktivieren. Wir haben mit dem Autor des Plugins zusammengearbeitet, um diese Einschränkung zu überwinden, als wir unsere Meldung geschickt haben.

Leider bedeutete dies, dass Benutzer auf Beitragsebene beliebigen PHP-Code auf einer Website ausführen konnten, indem sie einen Beitrag erstellten, den PHP-Überall-Block hinzufügten und ihm Code hinzufügten und dann eine Vorschau des Beitrags anzeigten. Wie die Metabox-Schwachstelle hat auch diese Schwachstelle den gleichen CVSS-Wert wie die Shortcode-Schwachstelle, ist aber weniger schwerwiegend, da sie nur mit Berechtigungen auf Contributor-Ebene ausgenutzt werden kann.

Zeitleiste

Januar 4, 2022 - Wir veröffentlichen eine Firewall-Regel, die für Wordfence Premium-, Wordfence Care- und Wordfence Response-Kunden verfügbar ist. Wir beginnen den Offenlegungsprozess mit dem Plugin-Autor und geben sie an das WordPress-Plugin-Repository weiter. Der Plugin-Autor antwortet und wir übermitteln eine vollständige Offenlegung.
Januar 10, 2022 - Eine gepatchte Version, 3.0.0, wird veröffentlicht.
3. Februar 2022 - Die Firewall-Regel wird für kostenlose Wordfence-Nutzer verfügbar.

Fazit

Im heutigen Artikel haben wir eine Reihe von Schwachstellen im PHP Everywhere Plugin besprochen, die für eine vollständige Übernahme der Website genutzt werden können.

Websites, die Wordfence Premium hat am 4. Januar 2022 eine Firewall-Regel erhalten, und Wordfence Care und Wordfence Antwort Kunden haben bei der Anmeldung die gleiche Firewall-Regel erhalten. Sites laufen noch Wordfence Free erhielt den gleichen Schutz 30 Tage nach der ersten Veröffentlichung, am 3. Februar 2022.

Wenn du dieses Plugin verwendest, raten wir dir dringend, sofort auf die neueste Version zu aktualisieren. Wenn du glaubst, dass deine Website durch diese Sicherheitslücke kompromittiert wurde, bieten wir dir Incident Response Services über Wordfence Care. Wenn du deine Seite sofort reinigen lassen willst, Wordfence Antwort bietet den gleichen Service mit 24/7/365 Verfügbarkeit und einer Reaktionszeit von 1 Stunde. Beide Produkte beinhalten praktischen Support, falls du weitere Hilfe benötigst.

Wenn du jemanden kennst, der dieses Plugin einsetzt, empfehlen wir dringend, diesen Hinweis an ihn weiterzuleiten, da diese Schwachstellen sehr leicht ausgenutzt werden können, um eine Website schnell und vollständig zu übernehmen.

Quelle


Dieser Artikel ist im Original von www.wordfence.com und wurde übersetzt
https://www.wordfence.com/blog/2022/02/critical-vulnerabilities-in-php-everywhere-allow-remote-code-execution/

Abonniere den RSS-Feed von unseren WP News und verpasse keine Meldung: https://die-mainagentur.de/feed/?post_type=wp-news

Alternativ kannst du unseren WP-Newsletter abonnieren

Mit dem Eintrag in den WP-Newsletter bekommst du per Mail über neue Artikel zugesendet. Du kannst den Newsletter jederzeit abbestellen.
Mehr dazu in der Datenschutzerklärung