The WPCode - Insert Headers and Footers + Custom Code Snippets - WordPress Code Manager plugin for WordPress is vulnerable to Remote Code Execution in versions up to, and including, 2.3.5 This is due to the 'wpcode' custom post type being registered without a custom capability_type or capability restrictions in the wpcode_register_post_type() function, allowing WordPress core to fall back to standard post capabilities for all creation paths including XML-RPC. This makes it possible for authenticated attackers, with author-level access and above, to create and publish executable PHP snippet posts via XML-RPC wp.newPost, which are then executed server-side via eval() in the run_eval() function when the snippet is rendered through the [wpcode] shortcode.
WPCode WordPress plugin versions up to 2.3.5 allow authenticated attackers with author-level access to execute arbitrary PHP code through XML-RPC by creating malicious code snippets. The vulnerability exploits improper capability restrictions on the wpcode custom post type, enabling remote code execution via the eval() function.
يسمح مكون WPCode للووردبريس بتنفيذ أكواد PHP عشوائية من قبل المستخدمين المصرح لهم بمستوى المؤلف فأعلى عبر بروتوكول XML-RPC. تحدث الثغرة لأن نوع المنشور المخصص wpcode لم يتم تسجيله بقيود قدرات مخصصة، مما يسمح بإنشاء ومنشورات أكواد PHP قابلة للتنفيذ. يتم تنفيذ هذه الأكواد من جانب الخادم عند عرضها عبر اختصار [wpcode].
ثغرة في مكون WPCode للووردبريس تصل إلى الإصدار 2.3.5 تسمح للمهاجمين المصرح لهم بمستوى المؤلف بتنفيذ أكواد PHP عشوائية عبر XML-RPC. تستغل الثغرة قيود القدرات غير الكافية على نوع المنشور المخصص wpcode مما يمكّن من تنفيذ أكواد بعيدة عبر دالة eval().
Update WPCode plugin to version 2.3.6 or later immediately. Restrict XML-RPC access to trusted IP addresses only. Limit author-level user creation and regularly audit user permissions. Implement Web Application Firewall (WAF) rules to monitor and block suspicious XML-RPC requests. Monitor server logs for unauthorized code snippet creation attempts.
قم بتحديث مكون WPCode إلى الإصدار 2.3.6 أو أحدث فوراً. قيّد الوصول إلى XML-RPC للعناوين الموثوقة فقط. حدّد إنشاء المستخدمين على مستوى المؤلف وراجع صلاحيات المستخدمين بانتظام. طبّق قواعد جدار الحماية لمراقبة وحجب طلبات XML-RPC المريبة. راقب سجلات الخادم لمحاولات إنشاء مقاطع أكواد غير مصرح بها.