Home Sociedad WordPress corrige la cadena POP que expone los sitios web a ataques...

WordPress corrige la cadena POP que expone los sitios web a ataques RCE

WordPress ha lanzado la versión 6.4.2 que soluciona una vulnerabilidad de ejecución remota de código (RCE) que podría estar encadenada con otra falla para permitir a los atacantes ejecutar código PHP arbitrario en el sitio web de destino.

WordPress es un sistema de gestión de contenidos (CMS) de código abierto muy popular que se utiliza para crear y gestionar sitios web. Actualmente lo utilizan más de 800 millones de sitios, lo que representa aproximadamente el 45% de todos los sitios en Internet.

El equipo de seguridad del proyecto descubrió una vulnerabilidad en la cadena de programación orientada a propiedades (POP) que se introdujo en el núcleo de WordPress 6.4, que bajo ciertas condiciones podría permitir la ejecución de código PHP arbitrario.

Una cadena POP requiere que un atacante controle todas las propiedades de un objeto deserializado, lo cual es posible con la función unserialize() de PHP. Una consecuencia de esto es la posibilidad de secuestrar el flujo de la aplicación controlando los valores enviados a métodos megic como ‘_wakeup()’.

El problema de seguridad requiere la existencia de una falla de inyección de objetos PHP en el sitio de destino, que podría estar presente en un complemento o complemento de tema, para lograr una gravedad crítica.

Un anuncio de servicio público realizado por expertos en seguridad de WordPress en Wordfence proporciona algunos detalles técnicos adicionales sobre el problema, explicando que el problema está en la clase ‘WP_HTML_Token’, introducida en WordPress 6.4 para mejorar el análisis de HTML en el editor de bloques.

La clase contenía un método mágico ‘__destruct’, que usaba ‘call_user_func’ para ejecutar una función definida en la propiedad ‘on_destroy’, con ‘bookmark_name’ como argumento.

Según los investigadores, un atacante que aproveche una vulnerabilidad de inyección de objetos podría obtener control sobre estas propiedades para ejecutar código arbitrario.

Aunque la falla no es crítica por sí sola, debido a la necesidad de inyectar objetos en complementos o temas instalados y activos, la presencia de una cadena POP explotable en el núcleo de WordPress aumenta significativamente el riesgo general para los sitios de WordPress.

Si la vulnerabilidad es potencialmente crítica y explotable en determinadas circunstancias, los investigadores recomiendan a los administradores actualizar a la última versión de WordPress. Incluso si la mayoría de las actualizaciones instalan la nueva versión automáticamente, los investigadores recomiendan verificar manualmente si la actualización se completó.