Kreativzentrum
  1. SicherheitschefStartseite
  2. Informationen über Schwachstellen

WordPress 6.4.2 Update zur Behebung einer hochriskanten Sicherheitslücke bei der Remotecodeausführung veröffentlicht

Sicherheitschef - - Informationen über Schwachstellen - 3718 Ansichten

WordPress hat Version 6.4.2 veröffentlicht, die einen Patch für eine kritische Sicherheitslücke enthält, die von Bedrohungsakteuren ausgenutzt werden könnte, um sie mit einer anderen Schwachstelle zu kombinieren und beliebigen PHP-Code auf anfälligen Websites auszuführen.

WordPress hat Version 6.4.2 veröffentlicht, die einen Patch für eine kritische Sicherheitslücke enthält, die von Bedrohungsakteuren ausgenutzt werden könnte, um sie mit einer anderen Schwachstelle zu kombinieren und beliebigen PHP-Code auf anfälligen Websites auszuführen.

Auf der offiziellen WordPress-Website wurde eine Ankündigung veröffentlicht, in der es heißt: "Dies ist ein nicht direkt ausnutzbarer Fehler im KernSchwachstelle für entfernte CodeausführungDas Sicherheitsteam ist jedoch der Ansicht, dass es in Verbindung mit bestimmten Plug-ins, insbesondere bei Installationen mit mehreren Standorten, zu ernsthaften Sicherheitslücken führen kann. "

Nach Angaben des WordPress-Sicherheitsunternehmens Wordfence hat das Problem seine Wurzeln in derwordpressDie Klasse WP_HTML_Token, die in Version 6.4 eingeführt wurde, dient der Verbesserung des HTML-Parsing im Block-Editor.

Bedrohungsakteure sind in der Lage, eine PHP-Objektinjektionsschwachstelle in einem anderen Plugin oder Theme auszunutzen, um zwei Probleme miteinander zu verknüpfen, beliebigen Code auszuführen und die Kontrolle über die Zielsite zu übernehmen.

Wordfence stellte bereits im September 2023 fest: "Wenn POP [Property Oriented Programming] über ein zusätzliches Plugin oder Theme auf dem Zielsystem installiert ist1Ein Angreifer könnte dann in der Lage sein, beliebige Dateien zu löschen, sensible Daten abzurufen oder Code auszuführen. .

WordPress 6.4.2 Update zur Behebung einer hochriskanten Sicherheitslücke bei der Remotecodeausführung veröffentlicht
In einer ähnlichen Ankündigung von Patchstack sagte das Unternehmen, dass die Exploit-Kette seit dem 17. November auf GitHub verfügbar ist2und dem PHP Generic Gadget Chains ( PHPGGC ) Projekt hinzugefügt. Den Benutzern wird empfohlen, ihre Websites manuell zu überprüfen, um sicherzustellen, dass sie auf die neueste Version aktualisiert sind.

"Wenn Sie ein Entwickler sind und eines Ihrer Projekte Funktionsaufrufe zu Deserialisierungsfunktionen enthält, empfehlen wir Ihnen dringend, diese durch etwas anderes zu ersetzen, wie z.B. JSON-Kodierung/Dekodierung mit den PHP-Funktionen json_encode und json_decode", so Patchstack sagte Dave Jong, CTO von Patchstack.

Referenz zitieren:

  1. https://dl.acm.org/doi/10.1145/2660267.2660363 ↩︎
  2. https://github.com/ambionics/phpggc/tree/master/gadgetchains/WordPress/RCE ↩︎

Originalartikel von Chief Security Officer, bei Vervielfältigung bitte angeben: https://cncso.com/de/wordpress-high-risk-remote-code-execution-vulnerability.html

Wie (0)
0 0

Über den Autor.

Sicherheitschef

Sicherheitschef

96 Beiträge
4 Kommentare
1 Fragen
2 antwortet
2 Anhänger
Verantwortlicher für die Sicherheit (cncso.com)
Vorherige Dezember 8, 2023 um 10:44 Uhr
Weiter 10. Dezember 2023 um 4:14 Uhr

Empfohlen