O PHP Everywhere é essencialmente um plugin que permite aos utilizadores inserir e executar código com base em PHP em páginas do sistema de gestão de conteúdo. Pode ser páginas, posts, ou mesmo a sidebar.

Foram reportados 3 três CVE's, que permitem a execução de código remota:

CVE-2022-24663: execução de código remota pelo botão Subscriber+ via shortcode

CVE-2022-24664: execução de código remota pelo botão Contributor+ via metabox

CVE-2022-24665: execução de código remota também pelo botão Contributor+ via gutenberg block

Versões vulneráveis

Anteriores à 3.0.0

Solução

Atualizar para a versão 3.0.0

Utilizadores que usarem o Editor clássico deverão desinstalar o plugin e procurar uma solução alternativa para trabalhar código PHP customizado

Mais informações no blogue dos investigadores: https://www.wordfence.com/blog/2022/02/critical-vulnerabilities-in-php-everywhere-allow-remote-code-execution/

Atualização do plugin pela página oficial do wordpress: https://pt.wordpress.org/plugins/php-everywhere/