WordPress rilascia l’aggiornamento 6.4.2 per risolvere la vulnerabilità critica agli attacchi remoti
WordPress ha rilasciato la versione 6.4.2 con una patch per una falla di sicurezza critica che potrebbe essere sfruttata dagli autori delle minacce combinandola con un altro bug per eseguire codice PHP arbitrario su siti vulnerabili.
“Una vulnerabilità legata all’esecuzione di codice in modalità remota che non è direttamente sfruttabile nel core; tuttavia, il team di sicurezza ritiene che esista un potenziale di elevata gravità se combinato con alcuni plugin, specialmente nelle installazioni multisito,” WordPress disse.
Secondo la società di sicurezza WordPress Wordfence, il problema è radicato nella classe WP_HTML_Token introdotta nella versione 6.4 per migliorare l’analisi HTML nell’editor dei blocchi.
Un attore di minacce con la capacità di sfruttare una vulnerabilità di iniezione di oggetti PHP presente in qualsiasi altro plugin o tema per concatenare i due problemi per eseguire codice arbitrario e prendere il controllo del sito preso di mira.
“Se un POP [property-oriented programming] catena è presente tramite un plugin o un tema aggiuntivo installato sul sistema di destinazione, potrebbe consentire all’aggressore di eliminare file arbitrari, recuperare dati sensibili o eseguire codice,” Wordfence notato precedentemente nel settembre 2023.
In un avviso simile rilasciato da Patchstack, la società ha affermato che si è verificata una catena di sfruttamento reso disponibili su GitHub dal 17 novembre e aggiunto alle catene di gadget generici PHP (PHPGGC) progetto. Si consiglia agli utenti di controllare manualmente i propri siti per assicurarsi che siano aggiornati alla versione più recente.
“Se sei uno sviluppatore e uno qualsiasi dei tuoi progetti contiene chiamate di funzione alla funzione unserialize, ti consigliamo vivamente di scambiarla con qualcos’altro, come la codifica/decodifica JSON utilizzando le funzioni PHP json_encode e json_decode,” Dave Jong, CTO di Patchstack disse.