Wordpress

Des vulnérabilités de sécurité critiques ont été révélées dans un plugin WordPress connu sous le nom de PHP Everywhere qui est utilisé par plus de 30 000 sites Web dans le monde et pourrait être exploité par un attaquant pour exécuter du code arbitraire sur les systèmes concernés.

PHP Partout est utilisé pour activer le code PHP dans les installations WordPress, permettant aux utilisateurs d’insérer et d’exécuter du code basé sur PHP dans les pages, les publications et la barre latérale du système de gestion de contenu.

Sauvegardes Github Automatiques

Les trois problèmes, tous notés 9,9 sur un maximum de 10 sur le système de notation CVSS, ont un impact sur les versions 2.0.3 et inférieures, et sont les suivants –

  • CVE-2022-24663 – Exécution de code à distance par les utilisateurs abonnés + via un shortcode
  • CVE-2022-24664 – Exécution de code à distance par les utilisateurs de Contributor+ via metabox, et
  • CVE-2022-24665 – Exécution de code à distance par les utilisateurs de Contributor+ via le bloc gutenberg

L’exploitation réussie des trois vulnérabilités pourrait entraîner l’exécution de code PHP malveillant qui pourrait être exploité pour réaliser une prise de contrôle complète du site.

Entreprise de sécurité WordPress Wordfence mentionné il a révélé les lacunes à l’auteur du plugin, Alexander Fuchs, le 4 janvier, après quoi des mises à jour ont été publiées le 12 janvier 2022 avec la version 3.0.0 en supprimant entièrement le code vulnérable.

Publicité
Empêcher Les Violations De Données

« La mise à jour vers la version 3.0.0 de ce plugin est un changement de rupture qui supprime le [php_everywhere] shortcode et widget », lit maintenant la page de description mise à jour du plugin. « Exécutez l’assistant de mise à niveau à partir de la page des paramètres du plugin pour migrer votre ancien code vers les blocs Gutenberg. »

Il convient de noter que la version 3.0.0 ne prend en charge que les extraits de code PHP via le Éditeur de blocsobligeant les utilisateurs qui comptent encore sur le Éditeur classique pour désinstaller le plugin et télécharger une solution alternative pour héberger du code PHP personnalisé.


Rate this post
Publicité
Article précédentComment diffuser le téléphone sur la télévision – étape par étape pour iPhone et Android
Article suivantRésoudre les problèmes de perte de connexion au jeu Diablo 3
Avatar De Violette Laurent
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici