Ao lançar a versão 6.4.2, o WordPress disponibilizou uma correção para uma vulnerabilidade de severidade crítica que poderia permitir a execução de código PHP no site e, potencialmente, resultar em uma completa apropriação do site pelos atacantes.
A vulnerabilidade foi rastreada até um recurso introduzido na versão 6.4 do WordPress, que tinha como objetivo melhorar o parsing de HTML no editor de blocos.
O problema não está presente em versões anteriores do WordPress e afeta apenas as versões 6.4 e 6.4.1.
Um anúncio oficial do WordPress descreve a vulnerabilidade da seguinte forma:
“Uma vulnerabilidade de Execução Remota de Código que não é diretamente explorável no core, no entanto, a equipe de segurança considera que há potencial para alta severidade quando combinado com alguns plugins, especialmente em instalações em multisite.”
De acordo com um aviso publicado pela Wordfence:
“Uma vez que um invasor capaz de explorar uma vulnerabilidade de Injeção de Objetos teria controle total sobre as propriedades on_destroy e bookmark_name, poderiam usar isso para executar código arbitrário no site e obter facilmente controle total.
Embora o WordPress Core atualmente não tenha conhecidas vulnerabilidades de injeção de objetos, elas estão desenfreadas em outros plugins e temas. A presença de uma cadeia POP fácil de explorar no WordPress core aumenta substancialmente o nível de perigo de qualquer vulnerabilidade de injeção de objetos.”
Vulnerabilidade de Injeção de Objetos
O Wordfence alerta que as vulnerabilidades de Injeção de Objetos não são fáceis de explorar. No entanto, eles recomendam que os usuários do WordPress atualizem para as versões mais recentes.
O próprio WordPress aconselha que os usuários atualizem seus sites imediatamente.
Leia o anúncio oficial do WordPress:
