Sommario
WordPress ha rilasciato la versione 6.4.2, che include una patch per una grave vulnerabilità di sicurezza. Questa vulnerabilità potrebbe essere sfruttata da attori minacciosi combinandola con un altro bug per eseguire codice PHP arbitrario sui siti vulnerabili.
Dettagli della Vulnerabilità
La vulnerabilità è radicata nella classe WP_HTML_Token, introdotta nella versione 6.4 per migliorare l’analisi HTML nell’editor di blocchi. Un attore minaccioso che riesce a sfruttare una vulnerabilità di iniezione di oggetti PHP presente in qualsiasi altro plugin o tema può concatenare i due problemi per eseguire codice arbitrario e prendere il controllo del sito bersaglio.
Avvisi di Sicurezza e Consigli
Wordfence, una società di sicurezza WordPress, ha notato che se è presente una catena di programmazione orientata alle proprietà (POP) tramite un ulteriore plugin o tema installato sul sistema bersaglio, potrebbe consentire all’attaccante di eliminare file arbitrari, recuperare dati sensibili o eseguire codice. Patchstack, in un avviso simile, ha affermato che una catena di sfruttamento è stata resa disponibile su GitHub dal 17 novembre e aggiunta al progetto PHP Generic Gadget Chains (PHPGGC). Si raccomanda agli utenti di controllare manualmente i propri siti per assicurarsi che siano aggiornati all’ultima versione.
Raccomandazioni per gli Sviluppatori
Dave Jong, CTO di Patchstack, consiglia agli sviluppatori che se i loro progetti contengono chiamate alla funzione unserialize, è altamente raccomandato sostituirla con qualcos’altro, come la codifica/decodifica JSON utilizzando le funzioni PHP json_encode e json_decode.
