[ad_1]
WordPress ha lanzado la versión 6.4.2 que contiene un parche para una vulnerabilidad de gravedad crítica que podría permitir a los atacantes ejecutar código PHP en el sitio y potencialmente conducir a una toma total del sitio.
La vulnerabilidad se remonta a una característica introducida en WordPress 6.4 que estaba destinada a mejorar el análisis de HTML en el editor de bloques.
El problema no está presente en versiones anteriores de WordPress y sólo afecta a las versiones 6.4 y 6.4.1.
Un anuncio oficial de WordPress describe la vulnerabilidad:
«Una vulnerabilidad de ejecución remota de código que no se puede explotar directamente en el núcleo; sin embargo, el equipo de seguridad considera que existe un potencial de alta gravedad cuando se combina con algunos complementos, especialmente en instalaciones multisitio».
Según un aviso publicado por Wordfence:
“Dado que un atacante capaz de explotar una vulnerabilidad de inyección de objetos tendría control total sobre las propiedades on_destroy y bookmark_name, puede usar esto para ejecutar código arbitrario en el sitio y obtener fácilmente el control total.
Si bien WordPress Core actualmente no tiene vulnerabilidades conocidas de inyección de objetos, están muy extendidas en otros complementos y temas. La presencia de una cadena POP fácil de explotar en el núcleo de WordPress aumenta sustancialmente el nivel de peligro de cualquier vulnerabilidad de inyección de objetos”.
Vulnerabilidad de inyección de objetos
Wordfence advierte que las vulnerabilidades de inyección de objetos no son fáciles de explotar. No obstante, recomiendan que los usuarios de WordPress actualicen las últimas versiones.
El propio WordPress aconseja que los usuarios actualicen sus sitios inmediatamente.
Lea el anuncio oficial de WordPress:
Versión de mantenimiento y seguridad de WordPress 6.4.2
Lea el aviso de Wordfence:
Imagen destacada de Shutterstock/Nikulina Tatiana
[ad_2]
Consultar el artículo en la publicación original
