WordPress a publié la version 6.4.2 qui corrige une vulnérabilité d’exécution de code à distance (RCE) qui pourrait être liée à une autre faille pour permettre aux attaquants d’exécuter du code PHP arbitraire sur le site Web cible.
WordPress est un système de gestion de contenu (CMS) open source très populaire utilisé pour créer et gérer des sites Web. Il est actuellement utilisé par plus de 800 millions de sites, soit environ 45 % de tous les sites Internet.
L’équipe de sécurité du projet a découvert une vulnérabilité de chaîne de programmation orientée propriété (POP) introduite dans le noyau WordPress 6.4, qui, dans certaines conditions, pourrait permettre l’exécution de code PHP arbitraire.
Une chaîne POP nécessite qu’un attaquant contrôle toutes les propriétés d’un objet désérialisé, ce qui est possible avec la fonction unserialize() de PHP. Une conséquence de ceci est la possibilité de détourner le flux de l’application en contrôlant les valeurs envoyées aux méthodes mécaniques telles que ‘_wakeup()’.
Le problème de sécurité nécessite l’existence d’une faille d’injection d’objet PHP sur le site cible, qui pourrait être présente sur un plugin ou un module complémentaire de thème, pour atteindre une gravité critique.
« Une vulnérabilité d’exécution de code à distance qui n’est pas directement exploitable en core ; cependant, l’équipe de sécurité estime qu’il existe un potentiel de gravité élevée lorsqu’il est combiné avec certains plugins, en particulier dans les installations multisites. – WordPress
Un message d’intérêt public rédigé par des experts en sécurité WordPress chez Wordfence fournit des détails techniques supplémentaires sur le problème, expliquant que le problème réside dans la classe « WP_HTML_Token », introduite dans WordPress 6.4 pour améliorer l’analyse HTML dans l’éditeur de blocs.
La classe contenait une méthode magique ‘__destruct’, qui utilisait ‘call_user_func’ pour exécuter une fonction définie dans la propriété ‘on_destroy’, avec ‘bookmark_name’ comme argument.
Selon les chercheurs, un attaquant exploitant une vulnérabilité d’injection d’objet pourrait prendre le contrôle de ces propriétés pour exécuter du code arbitraire.
Bien que la faille ne soit pas critique en soi, en raison de la nécessité d’injection d’objets sur des plugins ou des thèmes installés et actifs, la présence d’une chaîne POP exploitable dans le cœur de WordPress augmente considérablement le risque global pour les sites WordPress.
Une autre notification de la plateforme de sécurité Patchstack pour WordPress et les plugins souligne qu’une chaîne d’exploitation pour ce problème a été téléchargée il y a plusieurs semaines sur GitHub puis ajoutée à la bibliothèque PHPGGC, utilisée dans les tests de sécurité des applications PHP.
Même si la vulnérabilité est potentiellement critique et exploitable dans certaines circonstances, les chercheurs recommandent aux administrateurs de mettre à jour vers la dernière version de WordPress. Même si la plupart des mises à jour installent automatiquement la nouvelle version, les chercheurs conseillent de vérifier manuellement si la mise à jour est terminée.