O WordPress liberou a versão 6.4.2 com uma correção para uma falha de segurança séria que poderia possibilitar que invasores executem código PHP no site, podendo resultar na total tomada do controle do site.
A falha de segurança foi identificada em uma funcionalidade incluída na versão 6.4 do WordPress, com o objetivo de aprimorar a análise de HTML no editor de blocos.
O problema só ocorre nas versões 6.4 e 6.4.1 do WordPress, não sendo encontrado em versões anteriores.
Uma declaração oficial do WordPress descreve a falha de segurança.
Uma vulnerabilidade de Execução de Código Remoto foi identificada, a qual não pode ser explorada diretamente no núcleo. No entanto, a equipe de segurança considera que, quando combinada com certos plugins, principalmente em instalações multisite, existe um potencial de gravidade elevada.
Conforme orientações compartilhadas por um consultor na Wordfence:
Desde que um invasor que consiga explorar uma vulnerabilidade de Injeção de Objeto teria controle total sobre as propriedades on_destroy e bookmark_name, pode utilizar isso para executar código arbitrário no site e obter facilmente controle total.
Enquanto o Palavra Press Core não apresenta vulnerabilidades conhecidas de injeção de objetos no momento, essas vulnerabilidades estão presentes em outros plugins e temas. A existência de uma cadeia de POP fácil de explorar no núcleo do WordPress aumenta consideravelmente o risco de qualquer vulnerabilidade de injeção de objetos.
Fragilidade da Injeção de Objetos
A Wordfence sugere que as vulnerabilidades relacionadas à injeção de objetos não sejam simples de serem exploradas. Além disso, eles orientam os usuários do WordPress a atualizarem para as versões mais recentes.
O WordPress recomenda que os utilizadores atualizem os seus websites sem demora.
Confira o comunicado oficial do WordPress.
Lançamento do WordPress 6.4.2 focado em Manutenção e Segurança.
Confira o comunicado da Wordfence.
Aviso: Vulnerabilidade crítica no WordPress 6.4.2 foi corrigida, impedindo a execução de código remoto.
Destaque da imagem fornecido por Shutterstock, créditos para Nikulina Tatiana.
