Нещодавно вийшло оновлення WordPress 6.4.2, яке виправляє небезпечну вразливість в цій популярній CMS. За словами розробників, хоча сама по собі вразливість не критична, її можна поєднати з іншими експлойтами для виконання довільного коду на вразливому сайті.
Що сталося
Експерти компанії Defiant виявили ланцюжок POP (property oriented programming), який був введений в WordPress 6.4. Цей ланцюжок в поєднанні з ін'єкцією об'єктів дозволяє зловмисникам повністю контролювати сайт на CMS WordPress.
Проблема полягає в класі WP_HTML_Token, який використовується для розбору HTML. Він містить метод __destruct, котрий автоматично виконується після завершення запиту. Якщо хакер контролює властивості on_destroy і bookmark_name, він може виконати довільний код.
Хто в небезпеці
За оцінками, WordPress використовує понад 40% усіх сайтів у світі. Отже вразливість становить загрозу для сотень мільйонів ресурсів: від особистих блогів до корпоративних порталів і інтернет-магазинів.
Особливо небезпечно це для багатосайтових інсталяцій WordPress (multisite), де одна вразливість може компрометувати відразу декілька доменів.
Що робити адміністраторам
Насамперед потрібно терміново оновити ядро WordPress до версії 6.4.2, яка ліквідує проблему. Крім того, слід перевірити встановлені плагіни і теми на предмет ін'єкцій об'єктів та інших вразливостей.
Також фахівці радять ввімкнути автоматичні оновлення WordPress, щоб своєчасно отримувати виправлення. Це дозволить уникнути експлуатації вразливостей нульового дня, поки розробники готують патч.
Висновки
Хоча сама по собі вразливість в WordPress 6.4 не критична, її легко використовувати в поєднанні з іншими хакерськими методами для повного контролю над сайтом. Тому адміністраторам вкрай важливо регулярно оновлювати програмне забезпечення.
