WordPress lança atualização 6.4.2 para resolver vulnerabilidade crítica de ataque remoto

WordPress lançou a versão 6.4.2 com um patch para uma falha de segurança crítica que poderia ser explorada por agentes de ameaças, combinando-o com outro bug para executar código PHP arbitrário em sites vulneráveis.

“Uma vulnerabilidade de execução remota de código que não pode ser explorada diretamente no núcleo; no entanto, a equipe de segurança sente que há um potencial de alta gravidade quando combinado com alguns plugins, especialmente em instalações multissite”, disse o WordPress.

De acordo com a empresa de segurança do WordPress Wordfence, o problema está enraizado na classe WP_HTML_Token que foi introduzida na versão 6.4 para melhorar a análise de HTML no editor de blocos.

Um agente de ameaça com a capacidade de explorar uma vulnerabilidade de injeção de objeto PHP presente em qualquer outro plugin ou tema para encadear os dois problemas para executar código arbitrário e assumir o controle do site de destino.

“Se uma cadeia POP [programação orientada a propriedades] estiver presente por meio de um plugin ou tema adicional instalado no sistema de destino, isso pode permitir que o invasor exclua arquivos arbitrários, recupere dados confidenciais ou execute código”, observou o Wordfence anteriormente em setembro de 2023.

Em um comunicado semelhante divulgado pelo Patchstack, a empresa disse que uma cadeia de exploração foi disponibilizada no GitHub a partir de 17 de novembro e adicionada ao projeto PHP Generic Gadget Chains (PHPGGC). É recomendável que os usuários verifiquem manualmente seus sites para garantir que eles sejam atualizados para a versão mais recente.

“Se você é um desenvolvedor e qualquer um de seus projetos contém chamadas de função para a função unserialize, recomendamos que você troque isso por outra coisa, como codificação/decodificação JSON usando as funções json_encode e json_decode PHP”, disse Dave Jong, CTO da Patchstack.

Fonte: THN