WordPress выпустил версию 6.4.2, которая включает в себя исправление критической уязвимости, которая может позволить злоумышленникам выполнить PHP-код на веб-сайте и потенциально привести к полному захвату сайта.

Уязвимость была связана с функцией, представленной в WordPress 6.4 и предназначенной для улучшения анализа HTML в редакторе блоков.

Эта проблема не возникает в предыдущих версиях WordPress и затрагивает только версии 6.4 и 6.4.1.

Официальное объявление WordPress описывает уязвимость:

«Уязвимость удаленного выполнения кода, которая по своей сути не может быть использована напрямую. Однако команда безопасности считает, что при использовании некоторых плагинов существует высокий риск, особенно при установке на нескольких сайтах».

Согласно рекомендации, опубликованной Wordfence:

«Поскольку злоумышленник, который сможет воспользоваться уязвимостью внедрения объектов, будет иметь полный контроль над свойствами on_destroy и bookmark_name, он может использовать их для выполнения произвольного кода на сайте и легко получить полный контроль».

Хотя WordPress Core в настоящее время не имеет известных уязвимостей внедрения объектов, они широко распространены в других плагинах и темах. Наличие простой в использовании цепочки POP в ядре WordPress значительно повышает уровень угрозы любой уязвимости, связанной с внедрением объектов».

Уязвимость внедрения объектов

Wordfence отмечает, что уязвимости внедрения объектов нелегко эксплуатировать. Тем не менее, они рекомендуют пользователям WordPress обновиться до последних версий.

Сам WordPress рекомендует пользователям немедленно обновить свои сайты.

Прочтите официальное объявление WordPress:

Обновление поддержки и безопасности WordPress 6.4.2

Прочтите совет Wordfence:

PSA: критическая цепочка POP, позволяющая удаленное выполнение кода, исправленная в WordPress 6.4.2

Рекомендованное изображение: Shutterstock/Никулина Татьяна