导读 WordPress发布了新版本-6.4.2,修复了远程代码执行漏洞。与另一个缺陷结合使用,黑客可以在WordPress网站上运行任意PHP代码,并且由于几乎...
WordPress发布了新版本-6.4.2,修复了远程代码执行漏洞。与另一个缺陷结合使用,黑客可以在WordPress网站上运行任意PHP代码,并且由于几乎一半的互联网被认为在WordPress上运行,因此攻击面相当广泛。
根据网站构建器安全团队的说法,6.4版本容易受到面向属性编程(POP)链缺陷的影响,该缺陷可用于执行任意PHP代码,尽管是在特定情况下。这些情况要求目标网站携带PHP对象注入缺陷,该缺陷可能是通过易受攻击的插件或附加组件引入的。总之,这些缺陷的严重性变得至关重要。
“无法在核心中直接利用的远程代码执行漏洞;然而,安全团队认为,与某些插件结合使用时,特别是在多站点安装中,可能会出现严重的后果。”WordPress表示。
我们并不是每天都会在WordPress核心中发现漏洞,但今天就是其中之一-那些对该漏洞的技术细节感兴趣的人应该参考Wordfence的技术分析。
BleepingComputer进一步报告了Patchstack通知,该漏洞利用链已在几周前上传到GitHub,甚至随后添加到PHPGGC库中。
WordPress是迄今为止最受欢迎的网站构建器,为8亿个网站提供支持。它的受欢迎程度也意味着它一直处于黑客的放大镜之下,然而,WordPress本身很少发现漏洞。相反,黑客发现更容易找到插件、附加组件和主题中的漏洞,尤其是免费使用的漏洞。
这些通常是由爱好者或后来放弃或忘记该项目的人构建的,导致漏洞存在的时间更长,修补的速度也更慢。威胁行为者可以利用这些缺陷窃取数据、将访问者重定向到其他恶意网站、投放不需要的广告等等。