Вышла версия WordPress 6.4.2, исправляющая критическую уязвимость

Версия WordPress 6.4.2 содержит исправление критической уязвимости, позволяющей злоумышленникам выполнять PHP-код, что потенциально ведет к полному захвату сайта.

Уязвимость была обнаружена в новой функции, введенной в WordPress 6.4, которая предназначалась для улучшения обработки HTML в блочном редакторе.

Проблема отсутствует в предыдущих версиях WordPress и затрагивает только версии 6.4 и 6.4.1.

В официальном объявлении WordPress уязвимость описывается следующим образом:

«Найдена уязвимость удаленного выполнения кода, которая не может быть использована напрямую в ядре, но в сочетании с некоторыми плагинами, особенно в многосайтовых установках, может отличаться высокой степенью серьезности»

Согласно совету, опубликованному Wordfence:

«Поскольку атакующий, способный эксплуатировать уязвимость внедрения объектов (Object Injection), получает полный контроль над свойствами on_destroy и bookmark_name, он может использовать их для выполнения произвольного кода, чтобы захватить сайт.

В настоящее время в ядре WordPress отсутствуют какие-либо известные уязвимости внедрения объектов, но они встречаются во многих плагинах и темах. Наличие любой уязвимой POP-цепочки в ядре WordPress существенно повышает уровень опасности любой уязвимости Object Injection».

Уязвимость внедрения объектов

Как считают специалисты Wordfence, эксплуатация уязвимостей внедрения объектов – достаточно сложный процесс. Но при этом все равно рекомендовано обновиться до последних версий WordPress.

Блог про WordPress
Добавить комментарий

Получать новые комментарии по электронной почте.