Ao lançar recentemente a versão 6.4.2, a equipe por trás do WordPress corrigiu a falha que expõe sites a ataques RCE.
WordPress é um sistema de gerenciamento de conteúdo (CMS) de código aberto altamente popular usado para criar e gerenciar sites. Atualmente é utilizado por mais de 800 milhões de sites, representando cerca de 45% de todos os sites na internet.
Agora, a equipe do WordPress lançou a versão 6.4.2 que aborda uma vulnerabilidade de execução remota de código (RCE) que pode ser encadeada com outra falha para permitir que invasores executem código PHP arbitrário no site de destino.
WordPress corrigiu a falha que expõe sites a ataques RCE
A equipe de segurança do projeto descobriu uma vulnerabilidade na cadeia de Programação Orientada a Propriedade (POP) que foi introduzida no núcleo 6.4 do WordPress, que sob certas condições poderia permitir a execução arbitrária de código PHP.
Uma cadeia POP requer que um invasor controle todas as propriedades de um objeto desserializado, o que é possível com a função unserialize() do PHP.
Uma consequência disso é a possibilidade de sequestrar o fluxo da aplicação controlando os valores enviados para métodos megic como ‘_wakeup()’.
A questão de segurança exige a existência de uma falha de injeção de objeto PHP no site alvo, que pode estar presente em um plugin ou complemento de tema, para atingir uma gravidade crítica.
Segundo a equipe do WordPress:
“Uma vulnerabilidade de execução remota de código que não pode ser explorada diretamente no núcleo; no entanto, a equipe de segurança sente que há potencial para alta severidade quando combinado com alguns plug-ins, especialmente em instalações multisite.” –
Um PSA de especialistas em segurança do WordPress no Wordfence fornece alguns detalhes técnicos adicionais sobre o problema, explicando que o problema está na classe ‘WP_HTML_Token’, introduzida no WordPress 6.4 para melhorar a análise de HTML no editor de blocos.
por trás
A classe continha um método mágico ‘__destruct‘, que usava ‘call_user_func‘ para executar uma função definida na propriedade ‘on_destroy‘, com ‘bookmark_name‘ como argumento.
Um invasor que explore uma vulnerabilidade de injeção de objeto poderia obter controle sobre essas propriedades para executar código arbitrário, dizem os pesquisadores.
Embora a falha não seja crítica por si só, devido à necessidade de injeção de objetos em plugins ou temas instalados e ativos, a presença de uma cadeia POP explorável no núcleo do WordPress aumenta significativamente o risco geral para sites WordPress.
Outra notificação da plataforma de segurança Patchstack para WordPress e plug-ins destaca que uma cadeia de exploração para esse problema foi carregada há várias semanas no GitHub e posteriormente adicionada à biblioteca PHPGGC, que é usada em testes de segurança de aplicativos PHP.
Mesmo que a vulnerabilidade seja potencialmente crítica e explorável sob certas circunstâncias, os pesquisadores recomendam que os administradores atualizem para a versão mais recente do WordPress.
Mesmo que a maioria das atualizações instale a nova versão automaticamente, os pesquisadores aconselham verificar manualmente se a atualização foi concluída.