WordPress cập nhật phiên bản 6.4.2 cho một lỗ hổng bảo mật nghiêm trọng có thể bị kẻ tấn công lợi dụng bằng cách kết hợp với một lỗi khác để thực thi mã PHP không cho phép trên các trang web có lỗ hổng.
WordPress cho biết: “Một lỗ hổng thực thi mã từ xa mà không thể khai thác trực tiếp; tuy nhiên, nhóm bảo mật cảm thấy có khả năng xảy ra mức độ nghiêm trọng khi kết hợp với một số plugin, đặc biệt là trong cài đặt nhiều trang”.
Theo công ty bảo mật WordPress Wordfence, vấn đề này bắt nguồn từ lớp WP_HTML_Token được giới thiệu trong phiên bản 6.4 để cải thiện việc phân tích HTML trong trình block editor.
Kẻ tấn công có khả năng khai thác lỗ hổng xâm nhập đối tượng PHP có sẵn trong bất kỳ plugin hoặc chủ đề nào khác để kết hợp hai vấn đề này và thực thi mã tùy ý, giành quyền kiểm soát trang web đã được nhắm mục tiêu.
Wordfence đã lưu ý trước đó vào tháng 9 năm 2023: “Nếu chuỗi POP [lập trình hướng thuộc tính] xuất hiện thông qua một plugin hoặc chủ đề bổ sung được cài đặt trên hệ thống đích, thì nó có thể cho phép kẻ tấn công xóa các tệp tùy ý, truy xuất dữ liệu nhạy cảm hoặc thực thi mã”.
Một khuyến nghị tương tự do Patchstack đưa ra, công ty cho biết một chuỗi khai thác đã có sẵn trên GitHub kể từ ngày 17 tháng 11 và được thêm vào dự án Chuỗi tiện ích chung PHP (PHPGGC). Người dùng nên kiểm tra trang web của mình theo cách thủ công để đảm bảo rằng trang web được cập nhật lên phiên bản mới nhất.
Patchstack CTO Dave Jong cho biết. “Nếu là nhà phát triển và bất kỳ dự án nào chứa các lệnh gọi hàm đến hàm unserialize, chúng tôi thực sự khuyên nên hoán đổi hàm này bằng một hàm khác, chẳng hạn như mã hóa/giải mã JSON bằng cách sử dụng các hàm PHP json_encode và json_decode”.