O WordPress lançou a versão 6.4.2, que contém uma correção para uma vulnerabilidade de gravidade crítica que poderia permitir que invasores executem código PHP no site e, potencialmente, assumam o controle total do mesmo.

A vulnerabilidade foi rastreada até um recurso introduzido no WordPress 6.4, que tinha como objetivo melhorar o parsing de HTML no editor de blocos.

O problema não está presente em versões anteriores do WordPress e afeta apenas as versões 6.4 e 6.4.1.

Um comunicado oficial do WordPress descreve a vulnerabilidade da seguinte forma:

“Uma vulnerabilidade de Execução Remota de Código que não é diretamente explorável no núcleo, no entanto, a equipe de segurança acredita que há um potencial de gravidade alta quando combinada com alguns plugins, especialmente em instalações multisite.”

De acordo com um aviso publicado pela Wordfence:

“Uma vez que um invasor capaz de explorar uma vulnerabilidade de Injeção de Objeto teria controle total sobre as propriedades on_destroy e bookmark_name, eles podem usá-las para executar código arbitrário no site e facilmente obter controle total.

Embora o WordPress Core atualmente não tenha nenhuma vulnerabilidade conhecida de injeção de objeto, elas são comuns em outros plugins e temas. A presença de uma cadeia POP fácil de ser explorada no núcleo do WordPress aumenta substancialmente o nível de perigo de qualquer vulnerabilidade de Injeção de Objeto.”

A Wordfence aconselha que vulnerabilidades de Injeção de Objeto não são fáceis de serem exploradas, no entanto, eles recomendam que os usuários do WordPress atualizem para as versões mais recentes.

O próprio WordPress aconselha que os usuários atualizem seus sites imediatamente.