O WordPress disponibilizou a versão 6.4.2, que inclui uma correção para uma vulnerabilidade séria que pode permitir que invasores executem código PHP no site, podendo resultar na completa tomada do controle do site.
A fragilidade foi identificada em uma funcionalidade adicionada ao WordPress 4.6 com o propósito de aprimorar o processamento de código HTML no editor de blocos.
O problema ocorre apenas nas versões 6.4 e 6.4.1 do WordPress e não está presente em versões anteriores.
Um comunicado oficial do WordPress explica a fragilidade:
De acordo com o texto, foi identificada uma vulnerabilidade de Execução de Código Remoto que não pode ser diretamente explorada no núcleo. No entanto, a equipe de segurança considera que essa vulnerabilidade pode ser altamente grave em combinação com certos plugins, principalmente em instalações multisite.
Segundo um conselheiro publicado pela Wordfence, em conformidade com as diretrizes estabelecidas pela empresa,
Uma vez que um invasor com habilidades para explorar uma vulnerabilidade de Injeção de Objeto pode ter controle total sobre as propriedades on_destroy e bookmark_name, eles podem utilizar essa brecha para executar código arbitrário no site e obter controle total de forma fácil.
Apesar de não haver atualmente vulnerabilidades conhecidas de injeção de objetos no núcleo do WordPress, é comum encontrá-las em outros plugins e temas. No entanto, a existência de uma cadeia de POP fácil de explorar no núcleo do WordPress aumenta consideravelmente o risco de qualquer vulnerabilidade de injeção de objetos.
A fragilidade relacionada à Injeção de Objetos
A Wordfence sugere que as vulnerabilidades relacionadas à injeção de objetos sejam difíceis de serem exploradas. Além disso, eles estão encorajando os usuários do WordPress a realizarem a atualização para as versões mais recentes.
O WordPress recomenda que os usuários atualizem seus sites de forma imediata.
Confira a publicação oficial do WordPress:
Lançamento do WordPress 6.4.2 com foco em manutenção e segurança.
Confira o comunicado oficial da equipe da Wordfence:
Aviso: Foi corrigido um problema crítico de segurança que permitia a execução de código remoto no WordPress 6.4.2.
A imagem em evidência é fornecida pela Shutterstock, especificamente por Nikulina Tatiana.