وردپرس نسخه 6.4.2 را برای آسیب پذیری بحرانی منتشر کرد

وردپرس نسخه 6.4.2 را منتشر کرده است که حاوی وصله‌ای برای یک آسیب‌پذیری با شدت بحرانی است که می‌تواند به مهاجمان اجازه دهد کد PHP را در سایت اجرا کنند و به طور بالقوه منجر به تسخیر کامل سایت شود.

این آسیب‌پذیری به ویژگی معرفی‌شده در وردپرس 6.4 برمی‌گردد که هدف آن بهبود تجزیه HTML در ویرایشگر بلوک بود.

این مشکل در نسخه های قبلی وردپرس وجود ندارد و فقط نسخه های 6.4 و 6.4.1 را تحت تأثیر قرار می دهد.

یک اعلامیه رسمی وردپرس این آسیب پذیری را شرح می دهد:

یک آسیب‌پذیری Remote Code Execution که مستقیماً در هسته قابل بهره‌برداری نیست، با این حال تیم امنیتی احساس می‌کند که وقتی با برخی از افزونه‌ها ترکیب می‌شود، به ویژه در نصب‌های چند سایتی، پتانسیل بالقوه برای شدت بالا وجود دارد.

طبق توصیه ای که توسط Wordfence منتشر شده است:

از آنجایی که مهاجمی که می‌تواند از آسیب‌پذیری Object Injection سوء استفاده کند، کنترل کاملی بر ویژگی‌های on_destroy و bookmark_name دارد، می‌توانند از این برای اجرای کد دلخواه در سایت استفاده کنند تا به راحتی کنترل کامل را به دست آورند.

در حالی که وردپرس Core در حال حاضر هیچ آسیب‌پذیری تزریق شی شناخته‌شده‌ای ندارد، اما در سایر پلاگین‌ها و تم‌ها بیداد می‌کنند. وجود یک زنجیره POP با قابلیت بهره برداری آسان در هسته وردپرس به طور قابل ملاحظه ای سطح خطر هر آسیب پذیری Object Injection را افزایش می دهد.

آسیب پذیری تزریق شی

Wordfence توصیه می کند که سوء استفاده از آسیب پذیری های Object Injection آسان نیست. با این حال آنها به کاربران وردپرس توصیه می کنند که آخرین نسخه ها را به روز کنند.

خود وردپرس توصیه می کند که کاربران سایت خود را فوراً به روز کنند.

اطلاعیه رسمی وردپرس را بخوانید:

وردپرس 6.4.2 انتشار و نگهداری و امنیت

توصیه Wordfence را بخوانید:

PSA: زنجیره POP بحرانی که امکان اجرای کد از راه دور را می دهد در وردپرس 6.4.2 وصله شده است

تصویر ویژه توسط Shutterstock/Nikulina Tatiana