WordPress a publié la version 6.4.2 qui contient un correctif pour une vulnérabilité de gravité critique qui pourrait permettre à des attaquants d'exécuter du code PHP sur le site et potentiellement conduire à une prise de contrôle complète du site.
La vulnérabilité remonte à une fonctionnalité introduite dans WordPress 6.4 qui visait à améliorer l'analyse HTML dans l'éditeur de blocs.
Le problème n’est pas présent dans les versions antérieures de WordPress et ne concerne que les versions 6.4 et 6.4.1.
Une annonce officielle de WordPress décrit la vulnérabilité :
"Une vulnérabilité d'exécution de code à distance qui n'est pas directement exploitable dans le noyau, mais l'équipe de sécurité estime qu'il existe un potentiel de gravité élevée lorsqu'elle est combinée avec certains plugins, en particulier dans les installations multisites."
Selon un avis publié par Wordfence :
« Étant donné qu'un attaquant capable d'exploiter une vulnérabilité d'injection d'objet aurait un contrôle total sur les propriétés on_destroy et bookmark_name, il peut l'utiliser pour exécuter du code arbitraire sur le site afin d'obtenir facilement un contrôle total.
Bien que WordPress Core ne présente actuellement aucune vulnérabilité d’injection d’objet connue, elles sont répandues dans d’autres plugins et thèmes. La présence d’une chaîne POP facile à exploiter dans le cœur de WordPress augmente considérablement le niveau de danger de toute vulnérabilité d’injection d’objet.
Vulnérabilité d'injection d'objets
Wordfence indique que les vulnérabilités d’injection d’objet ne sont pas faciles à exploiter. Néanmoins, ils recommandent aux utilisateurs de WordPress de mettre à jour les dernières versions.
WordPress lui-même conseille aux utilisateurs de mettre à jour leurs sites immédiatement.
Lisez l’annonce officielle de WordPress :
Version de maintenance et de sécurité de WordPress 6.4.2
Lisez l’avis de Wordfence :
PSA : Chaîne POP critique permettant l'exécution de code à distance corrigée dans WordPress 6.4.2
Image en vedette par Shutterstock/Nikulina Tatiana