Af Eskil Sørensen, 12/12/23
WordPress har udsendt version 6.4.2, der retter en remote code execution (RCE)-sårbarhed. Sårbarheden stammer fra filen /includes/backup-heart.php og kan udnyttes til at kontrollere de værdier, der sendes til denne include fil, og efterfølgende udnytte dette til remote code execution.
Det skriver Security Week og Bleeping Computer.
Fejlen er opdaget af Wordpress’ eget sikkerhedsteam, og den betegnes som en ’property oriented programming’ (POP) kædesårbarhed. Den blev angiveligt introduceret i WordPress core 6.4, som under visse betingelser tillader afvikling af vilkårlig PHP-kode.
En POP-kæde kræver, at en angriber kontrollerer alle egenskaberne for et deserialiseret objekt. Dette er muligt med PHPs unserialize() funktion. En konsekvens af dette er muligheden for at kapre applikationens flow ved at kontrollere de værdier, der sendes til metoder såsom '_wakeup()'.
For at udnytte sårbarheden fuldt ud kræves det, at der er en PHP-objekt ’injection’-fejl, det kan fx være i et plugin eller tilsvarende funktioner, som er indbygget i Wordpress. Udnyttes sårbarheden ikombination med injection-fejlen, kan en angriber i sidste end få rettigheder til at udføre vilkårlig kode.
Det fremgår, at fejlen ikke er kritisk i sig selv, fordi udnyttelse kræver objektinjektion på installerede og aktive plugins eller temaer. Men fordi der findes en udnyttelig POP-kæde i WordPress-kernen øges den samlede risiko for WordPress-websteder, hedder det ifølge Wordpress som er refereret i Bleeping Computer.
Det fremhæves også, at en udnyttelseskæde til dette problem blev uploadet for flere uger siden på GitHub og senere tilføjet til PHPGGC-biblioteket, som bruges i PHP-applikationssikkerhedstest.
Det anbefales, at systemejere sikrer at opdateringen er installeret.
Links:
https://www.securityweek.com/wordpress-6-4-2-patches-remote-code-execution-vulnerability/