有数以万计的WordPress网站由于其使用的一个插件中含有关键的漏洞，从而使得网站面临着被攻击的风险。该插件可以使用户更方便的在网站上使用PHP代码。
        研究人员发现，其中的一个漏洞允许任何级别的认证用户，甚至是订阅者和客户执行代码，完全接管安装了该插件的网站。
        来自Wordfence Threat Intelligence的研究人员在周二发表的一篇博文中发现了PHP Everywhere中的三个关键漏洞，该插件安装在超过3万个WordPress网站上。该插件的作用也恰如其名，它允许WordPress网站开发人员将PHP代码放在网站的各种组件中，包括文章页面、帖子和侧边栏等位置。
        Wordfence的Ram Gall在帖子中写道："这些漏洞非常容易被利用，而且还可以被用来快速接管一个网站。”
        这三个漏洞主要是由于插件中的默认设置造成的，在Wordfence通过合规的披露程序通知了开发人员后，在新版的插件中，这些漏洞已经得到了修复。
        Wordfence团队在1月4日向PHP Everywhere的开发者发送了电子邮件，并很快得到了答复。他随后于1月10日发布了一个重建的插件版本，修复了所有漏洞。Wordfence敦促所有使用该插件的WordPress网站的管理者立即安装新版本的插件。
        关键性漏洞

        研究人员写道，其中最危险的漏洞是订阅用户可以通过短代码进行远程代码执行，该漏洞与插件的功能有关，并且该漏洞被追踪为CVE-2022-24663，在CVSS也上获得了9.9的评级。
        不幸的是，WordPress允许任何认证用户通过parse-media-shortcode AJAX来执行短代码，一些插件也允许未经认证的短代码执行，因此，任何登录的用户，甚至是几乎没有任何权限的用户，比如订阅者，都有可能通过发送一个参数为[php_everywhere]
        研究人员发现，在WordPress网站上执行任意的PHP代码，通常可以完全接管网站。
        另外两个漏洞分别被追踪为CVE-2022-24664和CVE-2022-24665。Gall解释说，这两个漏洞的CVSS评分与短码漏洞相同，但研究人员认为其严重程度稍低。
        前者是订阅用户通过metabox进行远程代码执行，该漏洞与PHP Everywhere的一个默认设置有关，该设置允许所有具有edit_posts能力的用户使用PHP Everywhere metabox。
        不幸的是，这意味着不受信任的用户都可以使用PHP Everywhere metabox，创建一个帖子，然后在PHP Everywhere metabox中添加PHP代码，预览该帖子，实现网站的任意代码执行。
        第三个漏洞，订阅用户通过Gutenberg块进行远程代码执行，与PHP Everywhere的一个默认设置有关，该设置允许所有具有edit_posts能力的用户使用PHP Everywhere Gutenberg块。

        研究人员解释说："虽然可以将其设置为管理员专用，但由于