تحديث جديد لتصحيح ثغرة أمنية خطيرة WordPress 6.4.2. أصدرت WordPress الإصدار 6.4.2 والذي يتضمن تصحيحًا لثغرة أمنية خطيرة يمكن للهاكرز استغلالها من خلال دمجها مع ثغرة أخرى لتنفيذ تعليمات برمجية PHP عشوائية على المواقع الضعيفة.
صرحت WordPress: “ثغرة تنفيذ التعليمات البرمجية عن بعد غير قابلة للاستغلال مباشرة في النواة. ومع ذلك. يعتقد فريق الأمن أن هناك احتمال لخطورة عالية عند دمجها مع بعض الإضافات. خاصة في مواقع الشبكات المتعددة.”
وفقًا لشركة Wordfence المتخصصة في أمن WordPress. تكمن المشكلة في فئة WP_HTML_Token التي تم تقديمها في الإصدار 6.4 لتحسين تحليل HTML في محرر الكتل.
يمكن لمهاجم لديه القدرة على استغلال ثغرة حقن كائنات PHP الموجودة في أي إضافة أو قالب آخر ربط الثغرتين لتنفيذ تعليمات برمجية عشوائية والسيطرة على الموقع المستهدف.
وأشارت Wordfence سابقًا في سبتمبر 2023: “إذا كان هناك سلسلة برمجة موجهة للخصائص (POP) عبر إضافة أو قالب إضافي مثبت على النظام المستهدف. فقد يتيح ذلك للمهاجم حذف ملفات عشوائية أو استرداد بيانات حساسة أو تنفيذ التعليمات البرمجية.”
في استشارة مماثلة أصدرتها Patchstack. قالت الشركة إنه تم توفير سلسلة استغلال على GitHub اعتبارًا من 17 نوفمبر وتم إضافتها إلى مشروع PHP Generic Gadget Chains (PHPGGC). يُنصح المستخدمين بالتحقق يدويًا من مواقعهم للتأكد من تحديثها إلى الإصدار الأحدث.
وقال Dave Jong. الرئيس التقني لشركة Patchstack: “إذا كنت مطورًا وتحتوي أي من مشاريعك على استدعاءات وظائف لـ unserialize. فننصح بشدة باستبدالها بشيء آخر. مثل ترميز/فك تشفير JSON باستخدام وظائف PHP. json_encode و json_decode.”
تحديث جديد لتصحيح ثغرة أمنية خطيرة WordPress 6.4.2. تابعً على Facebook او Instagram او YouTube او X لقراءة المزيد من المحتوى الحصري الذي ننشره.