WordPress 已發布 6.4.2 版本,其中包含針對一個嚴重漏洞的補丁,該漏洞可能允許攻擊者在網站上執行 PHP 程式碼,並可能導致整個網站被接管。
該漏洞可追溯到 WordPress 6.4 中引入的一項功能,該功能旨在改進部落格編輯器中的 HTML 解析。
此問題在舊版 WordPress 中不存在,僅影響版本 6.4 和 6.4.1。
WordPress 官方公告描述了這個漏洞:
“這是一個無法在核心中直接利用的遠端程式碼執行漏洞,但安全團隊認為,與某些插件結合使用時,特別是在多站點安裝中,可能會造成嚴重後果。”
根據 Wordfence 發布的公告:
「由於能夠利用物件注入漏洞的攻擊者可以完全控制 on_destroy 和 bookmark_name 屬性,因此他可以利用它在網站上執行任意程式碼,從而輕鬆獲得完全控制。
雖然 WordPress Core 目前沒有已知的物件注入漏洞,但它們在其他外掛和主題中很猖獗。 WordPress 核心中存在可利用的 POP 字串大大增加了任何物件注入漏洞的危險等級。”
物件注入漏洞
Wordfence 建議物件注入漏洞不容易被利用。 不過,他們建議 WordPress 用戶更新到最新版本。
WordPress 本身建議使用者立即更新他們的網站。
閱讀 WordPress 官方公告:
WordPress 維護和安全版本 6.4.2
閱讀 Wordfence 通知:
PSA:在 WordPress 6.4.2 中修補了啟用遠端程式碼執行的關鍵 POP 字串
精選圖片由 Shutterstock/Nikulina Tatiana 提供
