WordPress a publié la version 6.4.2 avec un correctif pour une faille de sécurité critique qui pourrait être exploitée par des acteurs malveillants en la combinant avec un autre bug pour exécuter du code PHP arbitraire sur des sites vulnérables.
« Une vulnérabilité d’exécution de code à distance qui n’est pas directement exploitable dans le noyau ; cependant, l’équipe de sécurité estime qu’il existe un potentiel de gravité élevée lorsqu’elle est combinée avec certains plugins, en particulier dans les installations multisites », WordPress dit.
Selon la société de sécurité WordPress Wordfence, le problème est enraciné dans la classe WP_HTML_Token qui a été introduite dans la version 6.4 pour améliorer l’analyse HTML dans l’éditeur de blocs.
Un acteur menaçant ayant la capacité d’exploiter une vulnérabilité d’injection d’objet PHP présente dans tout autre plugin ou thème pour enchaîner les deux problèmes afin d’exécuter du code arbitraire et de prendre le contrôle du site ciblé.
« Si un POPULAIRE [property-oriented programming] chaîne est présent via un plugin ou un thème supplémentaire installé sur le système cible, il pourrait permettre à l’attaquant de supprimer des fichiers arbitraires, de récupérer des données sensibles ou d’exécuter du code », Wordfence noté auparavant en septembre 2023.
Dans un avis similaire publié par Patchstack, la société a déclaré qu’une chaîne d’exploitation avait été mise à disposition sur GitHub à partir du 17 novembre et ajouté aux chaînes de gadgets génériques PHP (PHPGGC) projet. Il est recommandé aux utilisateurs de vérifier manuellement leur site pour s’assurer qu’il est mis à jour avec la dernière version.
« Si vous êtes un développeur et que l’un de vos projets contient des appels de fonction à la fonction de désérialisation, nous vous recommandons fortement de l’échanger avec autre chose, comme l’encodage/décodage JSON à l’aide des fonctions PHP json_encode et json_decode », Dave Jong, CTO de Patchstack. dit.