WordPress发布了6.4.2版本,修复了一个远程代码执行(RCE)漏洞。据悉,该漏洞与另一个安全漏洞相结合,允许攻击者在目标网站上运行任意PHP代码。
WordPress是一种广受欢迎的开源内容管理系统(CMS),用于创建和管理网站。目前,有超过8亿个网站使用WordPress,占据互联网上所有网站的约45%。然而,在WordPress core 6.4中,安全团队发现了一个面向属性编程(POP)链漏洞,该漏洞在特定条件下可能允许未经授权的攻击者执行任意PHP代码。
POP链漏洞要求攻击者控制反序列化对象的所有属性,而PHP的unserialize()函数正好可以做到这一点。一旦攻击者控制了这些属性,就有可能通过控制发送到magic方法(如"_wakeup()")的值来劫持应用程序的流程。值得注意的是,这个安全问题需要目标网站存在PHP对象注入漏洞(可能存在于插件或主题附加组件中)才能产生最严重的影响。
WordPress表示,虽然这个远程代码执行漏洞在内核中无法直接被攻击者利用,但安全团队认为,与某些插件结合使用,尤其是在多站点安装中,可能会造成严重后果。
Wordfence的WordPress安全专家提供了有关该安全问题的技术细节,并解释说该问题出现在WordPress 6.4中引入的"WP_HTML_Token"类中,以改进块编辑器中的HTML解析。该类包含一个"__destruct"magic方法,该方法使用"call_user_func"执行在"on_decurt"属性中定义的函数,并将"bookmark_name"作为参数。
最后,研究人员强调,攻击者能够利用对象注入漏洞轻松控制这些属性来执行任意代码。
虽然这个安全漏洞本身可能不是很严重,但由于需要在已安装和活动的插件或主题上注入对象,WordPress核心中存在可利用的POP链会显著增加WordPress网站的总体风险。Patchstack发布的通知中强调,用于利用该漏洞的链已在几周前上传至GitHub,并被添加到用于PHP应用程序安全测试的PHPGGC库中。
最后,即使这个漏洞只是潜在的安全问题,并且在某些特定情况下才能被攻击者利用,安全研究人员仍建议管理员尽快更新到最新的WordPress版本。"
|
感谢您花时间阅读我们提供的这篇文章。我们非常重视您的时间和精力,并深知信息对您的重要性。 我们希望了解您对这篇文章的看法和感受。我们真诚地想知道您是否认为这篇文章为您带来了有价值的资讯和启示,是否有助于您的个人或职业发展。 如果您认为这篇文章对您非常有价值,并且希望获得更多的相关资讯和服务,我们愿意为您提供进一步的定制化服务。请通过填写我们提供的在线表单,与我们联系并提供您的邮箱地址或其他联系方式。我们将定期向您发送相关资讯和更新,以帮助您更好地了解我们的服务和文章内容。  |
END
原文始发于微信公众号(信息安全大事件):WordPress更新!修复远程代码执行漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论