Недавно вышло обновление WordPress 6.4.2, которое исправляет опасную уязвимость в этой популярной CMS. По словам разработчиков, хотя сама по себе уязвимость не критична, ее можно совместить с другими эксплойтами для выполнения произвольного кода на уязвимом сайте.
Что произошло
Эксперты компании Defiant обнаружили цепочку POP (property oriented programming), которая была введена в WordPress 6.4. Эта цепочка в сочетании с инъекцией объектов позволяет злоумышленникам полностью контролировать сайт на CMS WordPress.
Проблема заключается в классе WP_HTML_Token, который используется для разбора HTML. Он содержит метод __destruct, который автоматически выполняется после завершения запроса. Если хакер контролирует свойства on_destroy и bookmark_name, он может выполнить произвольный код.
Кто в опасности
По оценкам, WordPress использует более 40% всех сайтов в мире. Так что уязвимость представляет угрозу для сотен миллионов ресурсов: от личных блогов до корпоративных порталов и интернет-магазинов.
Особенно опасно это для многосайтовых инсталляций WordPress (multisite), где одна уязвимость может компрометировать сразу несколько доменов.
Что делать администраторам
Первым делом нужно срочно обновить ядро WordPress до версии 6.4.2, которая ликвидирует проблему. Кроме того, следует проверить установленные плагины и темы на предмет инъекций объектов и других уязвимостей.
Также специалисты советуют включить автоматические обновления WordPress, чтобы своевременно получать исправления. Это позволит избежать эксплуатации уязвимостей нулевого дня, пока разработчики готовят патч.
Выводы
Хотя сама по себе уязвимость в WordPress 6.4 не критична, ее легко использовать в сочетании с другими хакерскими методами для полного контроля над сайтом. Поэтому администраторам крайне важно регулярно обновлять программное обеспечение.
