WordPress, Kritik Uzaktan Saldırı Güvenlik Açığını Ele Almak için 6.4.2 Güncellemesini Yayınladı

WordPress, savunmasız sitelerde rastgele PHP kodu yürütmek için başka bir hatayla birleştirerek tehdit aktörleri tarafından istismar edilebilecek kritik bir güvenlik açığı için bir yama ile 6.4.2 sürümünü yayınladı.

"Çekirdekte doğrudan istismar edilemeyen bir uzaktan kod yürütme güvenlik açığı; ancak güvenlik ekibi, özellikle çok siteli kurulumlarda bazı eklentilerle birleştirildiğinde yüksek önem potansiyeli olduğunu düşünüyor" dedi.

WordPress güvenlik şirketi Wordfence'e göre, sorun, blok düzenleyicide HTML ayrıştırmayı iyileştirmek için 6.4 sürümünde tanıtılan WP_HTML_Token sınıfından kaynaklanıyor.

Başka herhangi bir eklentide veya temada bulunan bir PHP nesne enjeksiyon güvenlik açığından yararlanma yeteneğine sahip bir tehdit aktörü, rastgele kod yürütmek ve hedeflenen sitenin kontrolünü ele geçirmek için iki sorunu zincirleme yeteneğine sahiptir.

Wordfence daha önce Eylül 2023'te "Hedef sistemde yüklü ek bir eklenti veya tema aracılığıyla bir POP [özellik odaklı programlama] zinciri mevcutsa, saldırganın rastgele dosyaları silmesine, hassas verileri almasına veya kod yürütmesine izin verebilir" dedi.

Patchstack tarafından yayınlanan benzer bir danışma belgesinde şirket, 17 Kasım'dan itibaren GitHub'da bir istismar zincirinin kullanıma sunulduğunu ve PHP Generic Gadget Chains (PHPGGC) projesine eklendiğini söyledi. Kullanıcıların, en son sürüme güncellendiğinden emin olmak için sitelerini manuel olarak kontrol etmeleri önerilir.

Patchstack CTO'su Dave Jong, "Bir geliştiriciyseniz ve projelerinizden herhangi biri seri hale getirme işlevine işlev çağrıları içeriyorsa, bunu json_encode ve json_decode PHP işlevlerini kullanarak JSON kodlama/kod çözme gibi başka bir şeyle değiştirmenizi şiddetle tavsiye ederiz" dedi.