O WordPress lançou a versão 6.4.2, que inclui uma correção para uma falha crítica de segurança. Esta vulnerabilidade, embora não seja diretamente explorável no núcleo do WordPress, pode ser combinada com outra falha para executar código PHP arbitrário em sites vulneráveis.

A falha está relacionada à classe WP_HTML_Token, introduzida na versão 6.4 para melhorar a análise de HTML no editor de blocos. A empresa de segurança WordPress, Wordfence, identificou que um ator de ameaças poderia explorar uma vulnerabilidade de injeção de objeto PHP presente em qualquer outro plugin ou tema para encadear os dois problemas e executar código arbitrário, assumindo o controle do site alvo.

“Se uma cadeia de programação orientada a propriedades (POP) estiver presente por meio de um plugin ou tema adicional instalado no sistema alvo, isso poderia permitir que o invasor excluísse arquivos arbitrários, recuperasse dados sensíveis ou executasse código”, observou a Wordfence em setembro de 2023.

A Patchstack, em um aviso semelhante, mencionou que uma cadeia de exploração foi disponibilizada no GitHub em 17 de novembro e adicionada ao projeto PHP Generic Gadget Chains (PHPGGC).

É recomendado que os usuários verifiquem manualmente seus sites para garantir que estejam atualizados para a versão mais recente. Dave Jong, CTO da Patchstack, aconselhou os desenvolvedores: “Se algum de seus projetos contiver chamadas de função para a função unserialize, recomendamos fortemente que você substitua isso por algo diferente, como codificação/descodificação JSON usando as funções json_encode e json_decode do PHP.”

A atualização 6.4.2 do WordPress é uma resposta essencial para proteger os sites contra potenciais explorações de segurança, destacando a importância de manter os sistemas atualizados e monitorar ativamente a segurança dos plugins e temas instalados.