WordPress lansează versiunea 6.4.2 pentru a remedia o vulnerabilitate critică

WordPress a lansat versiunea 6.4.2 care conține o actualizare pentru o vulnerabilitate critică ce ar putea fi exploatată de către persoane rău intenționate prin combinarea acesteia cu o altă vulnerabilitate în vederea executării de cod PHP arbitrar pe site-uri vulnerabile.

Potrivit companiei de securitate Wordfence, vulnerabilitatea își are originea în clasa WP_HTML_Token, care a fost introdusă în versiunea 6.4 pentru a îmbunătăți analiza HTML în editorul de blocuri.

Wordfence a menționat că dacă o înlănțuire de tip POP (property-oriented programming) este prezentă prin intermediul unui plugin sau al unei teme suplimentare instalate pe sistemul țintă, ar putea permite unui atacator să șteargă fișiere arbitrare, să recupereze date sensibile sau să execute cod.

Se recomandă ca administratorii de site-uri să realizeze verificări manuale pentru a se asigura că sunt actualizate la cea mai recentă versiune disponibilă.

De asemenea, se recomandă tuturor dezvoltatorilor de site-uri web ce au proiecte care conțin apeluri către o funcție de deserializare să realizeze modificări precum codificarea/decodificarea JSON folosind funcțiile PHP json_encode și json_decode.

Sursă: https://thehackernews.com/2023/12/wordpress-releases-update-642-to.html