WordPress publie une mise à jour critique pour corriger une vulnérabilité à distance

« Une vulnérabilité d’exécution de code à distance qui n’est pas directement exploitable dans le noyau ; cependant, l’équipe de sécurité estime qu’il y a un potentiel de gravité élevé lorsqu’elle est combinée avec certains plugins, en particulier dans les installations multisites », a déclaré WordPress.

Selon la société de sécurité WordPress Wordfence, le problème est lié à la classe WP_HTML_Token qui a été introduite dans la version 6.4 pour améliorer l’analyse HTML dans l’éditeur de blocs. Un acteur de la menace ayant la capacité d’exploiter une vulnérabilité d’injection d’objet PHP présente dans n’importe quel autre plugin ou thème peut enchaîner les deux problèmes pour exécuter un code arbitraire et prendre le contrôle du site ciblé.

« Si une chaîne POP [programmation orientée propriété] est présente via un plugin ou un thème supplémentaire installé sur le système cible, elle pourrait permettre à l’attaquant de supprimer des fichiers arbitraires, de récupérer des données sensibles ou d’exécuter du code », a indiqué Wordfence en septembre 2023. Dans un avis similaire publié par Patchstack, la société a déclaré qu’une chaîne d’exploitation a été mise à disposition sur GitHub le 17 novembre et ajoutée au projet PHP Generic Gadget Chains (PHPGGC). Il est recommandé aux utilisateurs de vérifier manuellement leurs sites pour s’assurer qu’ils sont mis à jour avec la dernière version.

« Si vous êtes un développeur et que vos projets contiennent des appels à la fonction unserialize, nous vous recommandons vivement de la remplacer par quelque chose d’autre, comme l’encodage/décodage JSON à l’aide des fonctions PHP json_encode et json_decode », a déclaré Dave Jong, directeur technique de Patchstack.