L’équipe Wordfence a divulgué des vulnérabilités de sécurité critiques trouvées dans le plugin WordPress « PHP Everywhere » qui est utilisé par plus de 30 000 sites Web dans le monde entier. L'une de ces vulnérabilités permettait à tout utilisateur authentifié, quel que soit son niveau, même aux abonnés et aux clients, d'exécuter du code sur un site sur lequel le plugin était installé.

PHP Everywhere est utilisé pour activer le code PHP dans les installations WordPress, ce qui permet aux utilisateurs d'insérer et d'exécuter du code PHP dans les pages, les articles et la barre latérale du système de gestion de contenu.

Trois vulnérabilités sont classées comme critiques (9.9/10 dans le système d’évaluation CVSS), affectent les versions 2.0.3 et inférieures et sont les suivantes :

• CVE-2022-24663 : Exécution de code à distance par les utilisateurs de « Subscriber » via un shortcode ;
• CVE-2022-24664 : Exécution de code à distance par des utilisateurs de « Contributor » via metabox ;
• CVE-2022-24665 : Exécution de code à distance par les utilisateurs de « Contributor » via le bloc gutenberg.

L'exploitation réussie de ces trois vulnérabilités pourrait entraîner l'exécution de code PHP malveillant qui pourrait être exploité pour réaliser une prise de contrôle complète du site.

Une version 3.0.0 de ce plugin a été publiée pour résoudre le problème en supprimant complètement le code vulnérable, cela entraîne que cette version ne prend en charge que les extraits PHP via l’éditeur de blocs, ce qui oblige les utilisateurs qui comptent toujours sur l’éditeur classique à désinstaller le plugin et à télécharger une solution alternative pour héberger du code PHP personnalisé.