Версия WordPress 6.4.2 содержит исправление критической уязвимости, позволяющей злоумышленникам выполнять PHP-код, что потенциально ведет к полному захвату сайта.
Уязвимость была обнаружена в новой функции, введенной в WordPress 6.4, которая предназначалась для улучшения обработки HTML в блочном редакторе.
Проблема отсутствует в предыдущих версиях WordPress и затрагивает только версии 6.4 и 6.4.1.
В официальном объявлении WordPress уязвимость описывается следующим образом:
«Найдена уязвимость удаленного выполнения кода, которая не может быть использована напрямую в ядре, но в сочетании с некоторыми плагинами, особенно в многосайтовых установках, может отличаться высокой степенью серьезности»
Согласно совету, опубликованному Wordfence:
«Поскольку атакующий, способный эксплуатировать уязвимость внедрения объектов (Object Injection), получает полный контроль над свойствами on_destroy и bookmark_name, он может использовать их для выполнения произвольного кода, чтобы захватить сайт.
В настоящее время в ядре WordPress отсутствуют какие-либо известные уязвимости внедрения объектов, но они встречаются во многих плагинах и темах. Наличие любой уязвимой POP-цепочки в ядре WordPress существенно повышает уровень опасности любой уязвимости Object Injection».
Уязвимость внедрения объектов
Как считают специалисты Wordfence, эксплуатация уязвимостей внедрения объектов – достаточно сложный процесс. Но при этом все равно рекомендовано обновиться до последних версий WordPress.
Источник: https://www.searchenginejournal.com