وردپرس نسخه 6.4.2 را منتشر کرده است که حاوی وصلهای برای یک آسیبپذیری با شدت بحرانی است که میتواند به مهاجمان اجازه دهد کد PHP را در سایت اجرا کنند و به طور بالقوه منجر به تسخیر کامل سایت شود.
این آسیبپذیری به ویژگی معرفیشده در وردپرس 6.4 برمیگردد که هدف آن بهبود تجزیه HTML در ویرایشگر بلوک بود.
این مشکل در نسخه های قبلی وردپرس وجود ندارد و فقط نسخه های 6.4 و 6.4.1 را تحت تأثیر قرار می دهد.
یک اعلامیه رسمی وردپرس این آسیب پذیری را شرح می دهد:
یک آسیبپذیری Remote Code Execution که مستقیماً در هسته قابل بهرهبرداری نیست، با این حال تیم امنیتی احساس میکند که وقتی با برخی از افزونهها ترکیب میشود، به ویژه در نصبهای چند سایتی، پتانسیل بالقوه برای شدت بالا وجود دارد.
طبق توصیه ای که توسط Wordfence منتشر شده است:
از آنجایی که مهاجمی که میتواند از آسیبپذیری Object Injection سوء استفاده کند، کنترل کاملی بر ویژگیهای on_destroy و bookmark_name دارد، میتوانند از این برای اجرای کد دلخواه در سایت استفاده کنند تا به راحتی کنترل کامل را به دست آورند.
در حالی که وردپرس Core در حال حاضر هیچ آسیبپذیری تزریق شی شناختهشدهای ندارد، اما در سایر پلاگینها و تمها بیداد میکنند. وجود یک زنجیره POP با قابلیت بهره برداری آسان در هسته وردپرس به طور قابل ملاحظه ای سطح خطر هر آسیب پذیری Object Injection را افزایش می دهد.
آسیب پذیری تزریق شی
Wordfence توصیه می کند که سوء استفاده از آسیب پذیری های Object Injection آسان نیست. با این حال آنها به کاربران وردپرس توصیه می کنند که آخرین نسخه ها را به روز کنند.
خود وردپرس توصیه می کند که کاربران سایت خود را فوراً به روز کنند.
اطلاعیه رسمی وردپرس را بخوانید:
وردپرس 6.4.2 انتشار و نگهداری و امنیت
توصیه Wordfence را بخوانید:
PSA: زنجیره POP بحرانی که امکان اجرای کد از راه دور را می دهد در وردپرس 6.4.2 وصله شده است
تصویر ویژه توسط Shutterstock/Nikulina Tatiana