WordPress, tehdit aktörleri tarafından savunmasız sitelerde rastgele PHP kodu yürütmek için başka bir hatayla birleştirilerek kullanılabilecek kritik bir güvenlik açığına yönelik bir yama içeren 6.4.2 sürümünü yayınladı.
WordPress, “Çekirdekte doğrudan yararlanılamayan bir uzaktan kod yürütme güvenlik açığı; ancak güvenlik ekibi, özellikle çok siteli kurulumlarda bazı eklentilerle birleştirildiğinde yüksek önem potansiyeli olduğunu düşünüyor” dedi.
WordPress güvenlik şirketi Wordfence’e göre sorun, blok düzenleyicide HTML ayrıştırmayı geliştirmek için 6.4 sürümünde tanıtılan WP_HTML_Token sınıfından kaynaklanıyor.
Rastgele kod yürütmek ve hedeflenen sitenin kontrolünü ele geçirmek için iki sorunu zincirlemek amacıyla başka herhangi bir eklenti veya temada bulunan PHP nesne enjeksiyonu güvenlik açığından yararlanma yeteneğine sahip bir tehdit aktörü.
“Eğer bir POP ise [property-oriented programming] Wordfence, Eylül 2023’te daha önce belirttiğine göre, hedef sisteme yüklenen ek bir eklenti veya tema aracılığıyla zincir mevcutsa, saldırganın rastgele dosyaları silmesine, hassas verileri almasına veya kod yürütmesine olanak tanıyabilir.”
Patchstack tarafından yayınlanan benzer bir duyuruda şirket, 17 Kasım itibarıyla GitHub’da bir kullanım zincirinin kullanıma sunulduğunu ve PHP Genel Gadget Zincirleri (PHPGGC) projesine eklendiğini söyledi. Kullanıcıların, sitelerinin en son sürüme güncellendiğinden emin olmak için sitelerini manuel olarak kontrol etmeleri önerilir.
Patchstack CTO’su Dave Jong, “Geliştiriciyseniz ve projelerinizden herhangi biri serileştirmeyi kaldırma işlevine yönelik işlev çağrıları içeriyorsa, bunu json_encode ve json_decode PHP işlevlerini kullanarak JSON kodlama/kod çözme gibi başka bir şeyle değiştirmenizi kesinlikle öneririz.” dedi.