Roman GłogulskiWordPress anunciou o lançamento da versão 6.4.3 como uma atualização de segurança em resposta a duas vulnerabilidades descobertas no WordPress, bem como 21 correções de bugs.
Vulnerabilidade de Upload de Arquivo PHP
O primeiro patch aborda uma vulnerabilidade no upload de arquivos PHP através do módulo instalador de plugins. Isso é uma brecha no WordPress que permite a um atacante fazer upload de arquivos PHP através do carregamento de plugins e temas. O PHP é uma linguagem de script usada para gerar HTML, e arquivos PHP também podem ser usados para injetar software malicioso em um site.
No entanto, essa vulnerabilidade não é tão grave quanto parece, pois o atacante precisaria de privilégios de administrador para realizar esse ataque.
Vulnerabilidade de Injeção de Objeto PHP
De acordo com o WordPress, o segundo patch aborda uma vulnerabilidade de execução remota de código através das cadeias POP RCE. Isso significa que existe uma brecha que permite a um atacante executar qualquer código remotamente no servidor, manipulando dados que o site WordPress desserializa.
Serialização é o processo de converter dados em um formato serializado, como uma string de texto, e desserialização é a parte onde os dados são restaurados para a sua forma original.
A Wordfence descreve essa vulnerabilidade como injeção de objetos PHP e não menciona o aspecto da cadeia POP RCE.
Aqui está como a Wordfence descreve a segunda vulnerabilidade do WordPress:
“O segundo patch trata de como as opções são armazenadas – elas são primeiro saneadas antes de verificar o tipo de dados das opções – arrays e objetos são serializados, assim como dados que já foram serializados, que são desserializados novamente. Essa ação já ocorre durante as atualizações das opções, mas não era realizada durante a instalação, inicialização ou atualizações do site.”
Similar à primeira vulnerabilidade, essa vulnerabilidade também apresenta baixo risco, pois o atacante precisaria de privilégios de administrador para realizar um ataque bem-sucedido.
O anúncio oficial do WordPress sobre a atualização de segurança e manutenção recomenda a atualização das instalações do WordPress:
“Como essa é uma versão de segurança, é recomendado atualizar seus sites imediatamente. Backports também estão disponíveis para outras principais versões do WordPress, a partir da versão 4.1.”
Correções de Bugs no Core do WordPress
Essa versão também inclui cinco correções de bugs no core do WordPress:
– Texto não sendo destacado durante a edição de páginas no Chrome Dev e Canary mais recentes.
– Atualização da versão padrão do PHP usada no ambiente Docker para versões mais antigas.
– wp-login.php: mensagens/erros de login.
– Geração do deprecated print_emoji_styles durante o embedding.
– Páginas de anexos sendo desabilitadas apenas para usuários logados.
Além das cinco correções no core, existem mais 16 correções de bugs no Editor de Blocos do WordPress.
Leia o anúncio oficial do WordPress sobre a atualização de segurança e manutenção.
Descrições do WordPress para cada uma das 21 correções de bug.
Descrições do Wordfence para essas vulnerabilidades:
WordPress 6.4.3: Atualização de Segurança – O Que Você Precisa Saber.
FAQ baseado nos principais tópicos e informações fornecidas no artigo:
1. O que o WordPress anunciou com a versão 6.4.3?
O WordPress anunciou o lançamento da versão 6.4.3 como uma atualização de segurança para corrigir duas vulnerabilidades no WordPress e 21 bugs.
2. Sobre o que é o primeiro patch?
O primeiro patch aborda uma vulnerabilidade no upload de arquivos PHP através do módulo instalador de plugins. Os atacantes podem fazer upload de código PHP malicioso por meio do carregamento de plugins e temas. São necessários privilégios de administrador para realizar esse ataque.
3. Sobre o que é o segundo patch?
O segundo patch aborda uma vulnerabilidade de injeção de objetos PHP através das cadeias POP RCE. Os atacantes podem executar remotamente qualquer código no servidor do WordPress, manipulando dados que o website desserializa.
4. O que é desserialização?
Desserialização é o processo de converter dados de um formato serializado, como uma string de texto, de volta para sua forma original.
5. Quais são as consequências dessas vulnerabilidades?
Ambas as vulnerabilidades requerem privilégios de administrador para realizar um ataque bem-sucedido. Portanto, o nível de ameaça é baixo.
6. O que o WordPress recomenda em seu anúncio?
O WordPress recomenda atualizações imediatas do site, pois essa é uma versão de segurança. Backports também estão disponíveis para outras principais versões do WordPress.
7. Quais são as correções de bugs no core nesta versão do WordPress?
Essa versão inclui cinco correções de bugs no core do WordPress, incluindo problemas com a edição de páginas no Chrome Dev e Canary, atualização da versão padrão do PHP no ambiente Docker, mensagens e erros de login na página wp-login.php, e a geração do deprecated print_emoji_styles.
8. Onde posso ler mais sobre essas atualizações de segurança?
Mais informações sobre a atualização de segurança e manutenção podem ser encontradas no anúncio oficial do WordPress.
9. Onde posso encontrar descrições das 21 correções de bug?
As descrições do WordPress para cada uma das 21 correções de bug podem ser encontradas aqui.
10. Onde posso encontrar as descrições do Wordfence para essas vulnerabilidades?
A descrição do Wordfence para essas vulnerabilidades pode ser encontrada aqui: WordPress 6.4.3: Atualização de Segurança – O Que Você Precisa Saber.
The source of the article is from the blog smartphonemagazine.nl
