⚫ WordPress PHP Everywhere 플러그인 보안 업데이트 권고

◼ WordPress 보안 전문 업체 Wordfence社는 보안 업데이트 권고문 발표

◼ WordPress PHP Everywhere 플러그인 관련 영향 받는 버전을 사용중인 이용자는

최신버전으로 업데이트 권고

※ PHP Everywhere 플러그인 : 사이트 소유자가 사이트 어디에서나 PHP 코드를 실행할

수 있도록 하기 위한 WordPress 플러그인

 

⚫ 취약점 내용

◼ Subscriber+ 사용자의 "shortcode" 매개변수를 통한 원격 코드 실행 취약점

(CVE-2022-24663)

◼ Contributor+ 사용자의 box를 통한 원격 코드 실행 취약점 (CVE-2022-24664)

◼ Contributor+ 사용자의 gutenberg 블록을 통한 원격코드 실행 취약점 (CVE-2022-24665)

 

⚫ 영향받는 시스템

◼WordPress PHP Everywhere 플러그인

◼ 2.0.3 이하 버전

 

⚫ 해결 방안

해당 취약점에 영향받는 소프트웨어를 이용 중인 사용자는 아래의 페이지를 통해 업데이트

◼3.0.0 이상으로 업데이트

◼업데이트 페이지

◼ https://wordpress.org/plugins/php-everywhere/

 

⚫ 참고 링크

◼ https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36447

◼ https://wordpress.org/plugins/php-everywhere/

◼ https://www.wordfence.com/blog/202202/critical-vulnerabilities-in-php-everywhere-allow-remote-code-execution/

◼ https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-24663

◼ https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-24664

◼ https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-24665