Το WordPress κυκλοφόρησε την έκδοση 6.4.2 που αν
τι
μετωπίζει μια ευπάθεια απομακρυσμένης εκτέλεσης κώδικα (RCE) που θα μπορούσε να συνδεθεί με ένα άλλο ελάττωμα για να επιτρέψει στους εισβολείς να εκτελούν αυθαίρετο κώδικα PHP στον ιστότοπο-στόχο.
Το WordPress είναι ένα εξαιρετικά δημοφιλές σύστημα διαχείρισης περιεχομένου ανοιχτού κώδικα (CMS) που χρησιμοποιείται για τη δημιουργία και τη διαχείριση ιστοσελίδων. Αυτή τη στιγμή χρησιμοποιείται από περισσότερους από 800 εκατομμύρια ιστότοπους, αντιπροσωπεύοντας περίπου το 45% όλων των τοποθεσιών στο διαδίκτυο.
Η ομάδα ασφαλείας του έργου ανακάλυψε μια ευπάθεια αλυσίδας Property Oriented Programming (POP) που εισήχθη στον πυρήνα του WordPress 6.4, η οποία υπό ορισμένες προϋποθέσεις θα μπορούσε να επιτρέψει την αυθαίρετη εκτέλεση κώδικα PHP.
Μια αλυσίδα POP απαιτεί από έναν εισβολέα να ελέγχει όλες τις ιδιότητες ενός deserialized αντικειμένου, κάτι που είναι δυνατό με τα PHP
unserialize()
λειτουργία. Συνέπεια αυτού είναι η δυνατότητα παραβίασης της
ροής
της εφαρμογής ελέγχοντας τις
τιμές
που αποστέλλονται σε μεθόδους megic όπως “
_Ξύπνα()
‘
.
Το ζήτημα ασφαλείας απαιτεί την ύπαρξη ενός ελαττώματος εισαγωγής αντικειμένου PHP στον ιστότοπο προορισμού, το οποίο θα μπορούσε να υπάρχει σε ένα πρόσθετο ή ένα πρόσθετο θέματος, για να επιτευχθεί μια κρίσιμη σοβαρότητα.
δεν είναι
άμεσα εκμεταλλεύσιμη στον πυρήνα. Ωστόσο, η ομάδα ασφαλείας πιστεύει ότι υπάρχει πιθανότητα υψηλής σοβαρότητας όταν συνδυάζεται με ορισμένα πρόσθετα, ειδικά σε εγκατασ
τάσεις
πολλαπλών τοποθεσιών.” –
WordPress
Ένα PSA από ειδικούς ασφαλείας του WordPress στο
Wordfence
παρέχει ορισμένες πρόσθετες τεχνικές λεπτομέρειες σχετικά με το πρόβλημα, εξηγώντας ότι το ζήτημα ανήκει στην κατηγορία ‘WP_HTML_Token’, που εισήχθη στο WordPress 6.4 για τη βελτίωση της ανάλυσης HTML στο πρόγραμμα επεξεργασίας μπλοκ.
Η τάξη περιείχε ένα ‘
__καταστρέφω
«μαγική μέθοδος, που χρησιμοποιούσε»
call_user_func’
για να εκτελέσετε μια συνάρτηση που ορίζεται στο ‘
on_destroy’
ιδιοκτησία, με ‘
σελιδοδείκτης_όνομα
ως επιχείρημα.
Ένας εισβολέας που εκμεταλλεύεται μια ευπάθεια έγχυσης αντικειμένου θα μπορούσε να αποκτήσει τον έλεγχο αυτών των ιδιοτήτων για να εκτελέσει αυθαίρετο κώδικα, λένε οι ερευνητές.
Καταστροφέας κλάσης που εκτελεί υπό όρους συνάρτηση επανάκλησης
(Patchstack)
Αν και το ελάττωμα δεν είναι κρίσιμο από μόνο του, λόγω της ανάγκης για ένεση αντικειμένων σε εγκατεστημένα και ενεργά πρόσθετα ή θέματα, η παρουσία μιας εκμεταλλεύσιμης αλυσίδας POP στον πυρήνα του WordPress αυξάνει σημαντικά τον συνολικό κίνδυνο για ιστότοπους WordPress.
Άλλη μια ειδοποίηση από
Patchstack
Η πλατφόρμα ασφαλείας για το WordPress και τα πρόσθετα υπογραμμίζει ότι μια αλυσίδα εκμετάλλευσης για αυτό το ζήτημα ανέβηκε πριν από αρκετές εβδομάδες
στο GitHub
και αργότερα προστέθηκε στο
Βιβλιοθήκη PHPGGC
το οποίο χρησιμοποιείται στη δοκιμή ασφάλειας εφαρμογών PHP.
Ακόμα κι αν η ευπάθεια είναι δυνητικά κρίσιμη και είναι εκμεταλλεύσιμη υπό ορισμένες συνθήκες, οι ερευνητές συνιστούν στους διαχειριστές ενημέρωση στην πιο πρόσφατη έκδοση του WordPress. Ακόμα κι αν οι περισσότερες ενημερώσεις εγκαθιστούν τη νέα έκδοση αυτόματα, οι ερευνητές συμβουλεύουν να ελέγξουν με μη αυτόματο τρόπο εάν η ενημέρωση ολοκληρώθηκε.
VIA:
bleepingcomputer.com