WordPress lanzó la versión 6.4.2 con un parche para una falla de seguridad crítica que podría ser explotada por actores de amenazas combinándola con otro error para ejecutar código PHP arbitrario en sitios vulnerables.
«Una vulnerabilidad de ejecución remota de código que no se puede explotar directamente en el núcleo; sin embargo, el equipo de seguridad considera que existe un potencial de alta gravedad cuando se combina con algunos complementos, especialmente en instalaciones multisitio», WordPress dicho.
Según la empresa de seguridad de WordPress Wordfence, el asunto tiene sus raíces en la clase WP_HTML_Token que se introdujo en la versión 6.4 para mejorar el análisis de HTML en el editor de bloques.
Un actor de amenazas con la capacidad de explotar una vulnerabilidad de inyección de objetos PHP presente en cualquier otro complemento o tema para encadenar los dos problemas para ejecutar código arbitrario y tomar el control del sitio objetivo.
«Si un ESTALLIDO [property-oriented programming] cadena está presente a través de un complemento o tema adicional instalado en el sistema de destino, podría permitir al atacante eliminar archivos arbitrarios, recuperar datos confidenciales o ejecutar código», Wordfence anotado anteriormente en septiembre de 2023.
En un aviso similar publicado por Patchstack, la compañía dijo que se ha iniciado una cadena de explotación. Hecho disponible en GitHub a partir del 17 de noviembre y agregado a PHP Generic Gadget Chains (PHPGGC) proyecto. Se recomienda que los usuarios revisen manualmente sus sitios para asegurarse de que estén actualizados a la última versión.
«Si es desarrollador y alguno de sus proyectos contiene llamadas a la función unserialize, le recomendamos encarecidamente que cambie esto por otra cosa, como codificación/decodificación JSON utilizando las funciones PHP json_encode y json_decode», dijo Dave Jong, director de tecnología de Patchstack. dicho.