Para peneliti telah menemukan tiga kerentanan remote code execution (RCE) berkategori kritis pada plugin "PHP Everywhere" untuk WordPress, yang digunakan oleh lebih dari 30.000 situs web di seluruh dunia. Ketiga kerentanan ini ditemukan oleh analis keamanan dari Wordfence dan berdampak pada semua versi plugin mulai dari versi 2.0.3 ke bawah. Kerentanan tersebut dilacak sebagai CVE-2022-24663, CVE-2022-24664, dan CVE-2022-24665, masing-masing memiliki skor CVSS sebesar 9,9.
Dua kerentanan terakhir lebih sulit dieksploitasi karena memerlukan izin tingkat kontributor untuk melakukannya. Namun, kerentanan pertama jauh lebih rentan terhadap eksploitasi luas karena dapat dimanfaatkan hanya dengan hak akses sebagai subscriber di situs WordPress yang terdampak.
Sumber: https://www.bleepingcomputer.com/news/security/php-everywhere-rce-flaws-threaten-thousands-of-wordpress-sites/