WordPress corrige la chaîne POP exposant les sites Web aux attaques RCE

WordPress a publié la version 6.4.2 qui corrige une vulnérabilité d'exécution de code à distance (RCE) qui pourrait être enchaînée à une autre faille pour permettre aux attaquants d'exécuter du code PHP arbitraire sur le site Web cible.

WordPress est un système de gestion de contenu (CMS) open source très populaire utilisé pour créer et gérer des sites Web. Il est actuellement utilisé par plus de 800 millions de sites, soit environ 45 % de tous les sites Internet.

L'équipe de sécurité du projet a découvert une vulnérabilité de chaîne de programmation orientée propriété (POP) introduite dans le noyau WordPress 6.4, qui, dans certaines conditions, pourrait permettre l'exécution de code PHP arbitraire.

Une chaîne POP nécessite qu'un attaquant contrôle toutes les propriétés d'un objet désérialisé, ce qui est possible avec PHP. désérialiser() fonction. Une conséquence de ceci est la possibilité de détourner le flux de l'application en contrôlant les valeurs envoyées aux méthodes mécaniques telles que '_réveillez-vous()'.

Publicité

Le problème de sécurité nécessite l’existence d’une faille d’injection d’objet PHP sur le site cible, qui pourrait être présente sur un plugin ou un module complémentaire de thème, pour atteindre une gravité critique.

« Une vulnérabilité d'exécution de code à distance qui n'est pas directement exploitable en core ; cependant, l’équipe de sécurité estime qu’il existe un potentiel de gravité élevée lorsqu’il est combiné avec certains plugins, en particulier dans les installations multisites. – WordPress

Un message d'intérêt public rédigé par des experts en sécurité WordPress sur Clôture de mots fournit quelques détails techniques supplémentaires sur le problème, expliquant que le problème réside dans la classe « WP_HTML_Token », introduite dans WordPress 6.4 pour améliorer l'analyse HTML dans l'éditeur de blocs.

La classe contenait un '__destruct' méthode magique, qui a utilisé 'call_user_func' pour exécuter une fonction définie dans le 'on_destroy' propriété, avec 'nom_signet » comme argument.

Selon les chercheurs, un attaquant exploitant une vulnérabilité d’injection d’objet pourrait prendre le contrôle de ces propriétés pour exécuter du code arbitraire.

Destructeur de classe qui exécute conditionnellement une fonction de rappel
Destructeur de classe qui exécute conditionnellement une fonction de rappel (Pile de correctifs)

Bien que la faille ne soit pas critique en soi, en raison de la nécessité d'injection d'objets sur des plugins ou des thèmes installés et actifs, la présence d'une chaîne POP exploitable dans le cœur de WordPress augmente considérablement le risque global pour les sites WordPress.

Une autre notification de Pile de correctifs la plate-forme de sécurité pour WordPress et les plugins souligne qu'une chaîne d'exploitation pour ce problème a été téléchargée il y a plusieurs semaines sur GitHub et ajouté plus tard au Bibliothèque PHPGGCqui est utilisé dans les tests de sécurité des applications PHP.

Même si la vulnérabilité est potentiellement critique et exploitable dans certaines circonstances, les chercheurs recommandent aux administrateurs de mettre à jour vers la dernière version de WordPress. Même si la plupart des mises à jour installent automatiquement la nouvelle version, les chercheurs conseillent de vérifier manuellement si la mise à jour est terminée.

4.3/5 - (17 votes)
Publicité
Article précédentLEGO Fortnite est-il un jeu Battle Royale ? Expliqué
Article suivantThe Last of Us revient pour la saison 2 en 2025
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici