Defiantは2月8日(米国時間)、「Critical Vulnerabilities in PHP Everywhere Allow Remote Code Execution」において、WordPressで人気の高いプラグイン「PHP Everywhere」に複数の脆弱性が存在すると伝えた。

PHP Everywhereは3万以上のWordPressサイトにインストールされている人気のプラグイン。対象の脆弱性を悪用すると、リモートからコード実行が可能で、かつ、サイト乗っ取りが可能と指摘されている。深刻度は緊急(Critical)で悪用も簡単であることから、迅速にアップデートを適用することが呼びかけられている。

  • Critical Vulnerabilities in PHP Everywhere Allow Remote Code Execution

    Critical Vulnerabilities in PHP Everywhere Allow Remote Code Execution

報告されている脆弱性は次の3つ。

  • CVE - CVE-2022-24663: ショートコードによるリモートコード実行の脆弱性。深刻度は緊急(Critical)
  • CVE - CVE-2022-24664: メタボックスによるリモートコード実行の脆弱性。深刻度は緊急(Critical)
  • CVE - CVE-2022-24665: gutenbergブロックによるリモートコード実行の脆弱性。深刻度は緊急(Critical)

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

  • PHP Everywhere version 2.0.3およびこれよりも前のバージョン

脆弱性が修正されたプロダクトおよびバージョンは次のとおり。

  • PHP Everywhere version 3.0.0

報告されているすべてのセキュリティ脆弱性の深刻度が緊急(Critical)であるうえ、きわめて悪用しやすいことからサイトの乗っ取りに利用される可能性が高いと危惧されている。該当するプラグインを使っている場合、ただちに内容を確認するとおもにアップグレードを適用することが推奨されている。