Kritik bir uzaktan kod yürütme güvenlik açığı, WordPress 6.4.2 sürümünün bir parçası olarak yamalı hale getirildi.
Bu güvenlik açığı, sürüm 6.4’te tanıtılan ve ayrı bir Nesne Enjeksiyonu ile birleştirilebilen ve web sitesinde rastgele PHP kodunun yürütülmesine neden olan POP zincirinde mevcuttur.
Bu güvenlik açığına atanmış bir CVE yoktu. Ancak WordPress, başka bir güvenlik açığının mevcut olması durumunda tüm siteyi ele geçirme saldırılarını önlemek için kullanıcılarını bu son sürüme yükseltmeye çağırıyor.
WordPress POP Zinciri Kusuru
Bu güvenlik açığı, blok düzenleyicide HTML ayrıştırmayı geliştirmek için kullanılan WP_HTML_Token sınıfında bulunmaktadır.
Bu sınıf, PHP isteği işlediğinde otomatik olarak çalıştırılan bir __destruct yöntemi içerir. Ayrıca on_destroy özelliğine iletilen işlevi yürütmek için call_user_func’u kullanır.
Bir tehdit aktörü, Object Injection güvenlik açığından yararlanarak ve web sitesinde rastgele kod çalıştırarak on_destroy ve Bookmark_name özellikleri üzerinde tam kontrol sahibi olabilir.
| genel işlev __uyandırma() { throw new \LogicException( __CLASS__ . ‘ asla serileştirilmemelidir’ ); } |
Ayrıca, WordPress çekirdeğinde herhangi bir Nesne Enjeksiyonu güvenlik açığı riskini artırabilecek potansiyel bir POP zinciri vardır. Ancak, WordPress’in yeni eklenen __wakeup yönteminin mevcut sürümü, __destruct işlevinin yürütülmesini engelleyen WP_HTML_Token sınıfına sahip serileştirilmiş bir nesne kullanır.
Bu güvenlik açığıyla ilgili kaynak kodu, analiz ve diğer bilgiler hakkında ayrıntılı bilgi sağlayan Wordfence tarafından eksiksiz bir rapor yayımlandı.
Bu güvenlik açığının tehdit aktörleri tarafından istismar edilmesini önlemek için WordPress kullanıcılarının en son sürüm 6.4.2’ye yükseltmeleri önerilir.
WordPress’in en son sürümünü yüklemek için adım adım prosedür içeren eksiksiz bir kılavuz da sağlanmıştır.