Хакери використовують критичну вразливість для повного контролю сайтів WordPress

Платформа Word­Press, яка використовується більш ніж на 800 мільйонах сайтів, випустила оновлення до версії 6.4.2 — воно усуває вразливість нульового дня.

Виявлена фахівцями з кібербезпеки вразливість пов’язана з технікою програмування Prop­er­ty Ori­ent­ed Pro­gram­ming (POP), яка з’явилася в ядрі Word­Press версії 6.4. Фахівці зазначають, що ця вразливість за певних умов може призвести до виконання довільного PHP-коду.

Особливістю POP-ланцюга є необхідність хакерського контролю всіх властивостей десеріалізованого об’єкта, це можливо завдяки функції PHP unse­ri­al­ize(). Для успішної реалізації атаки на цільовому сайті необхідна наявність вразливості ін’єкції (SQL-ін’єкція) об’єктів PHP, яка може бути виявлена у плагіні або надбудові теми.

Фірма  Word­fence, експерти з безпеки Word­Press, надали додаткові технічні подробиці. Проблема пов’язана з класом “WP_HTML_Token”, запровадженим у Word­Press 6.4 для поліпшення розбору HTML у редакторі блоків. Цей клас містив магічний метод “__destruct”, який використовував “call_user_func” для виконання функції, визначеної у властивості “on_destroy” з аргументом “bookmark_name”.

Використовуючи вразливість ін’єкції об’єктів, хакер міг би контролювати ці властивості для виконання довільного коду.

І хоча вразливість сама по собі не критична, наявність експлуатованого POP-ланцюга в ядрі Word­Press значно збільшує загальний ризик для сайтів на його основі.

За даними Patch­Stack, ланцюжок експлойтів для цієї проблеми кілька тижнів тому було завантажено на GitHub, а згодом додано у бібліотеку PHPGGC, яку використовують для тестування безпеки PHP-додатків.

Експерти рекомендують адміністраторам оновитися до останньої версії Word­Press, попри те, що для експлуатації вразливості необхідні певні умови. Фахівці резюмують: адміністраторам сайтів критично важливо своєчасно усувати будь-які ризики безпеки, щоб не залишити хакерам жодної можливості для атаки.