A versão de segurança do WordPress 6.4.3 corrige duas vulnerabilidades

Facebook
Pinterest
Twitter
LinkedIn

 

O WordPress anunciou uma versão de segurança 6.4.3 como resposta a duas vulnerabilidades descobertas no WordPress, além de 21 correções de bugs.

Ignorar upload de arquivo PHP

O primeiro patch é para uma vulnerabilidade de desvio de upload de arquivo PHP via instalador de plug-in. É uma falha no WordPress que permite que um invasor faça upload de arquivos PHP por meio do plugin e do uploader de temas. PHP é uma linguagem de script usada para gerar HTML. Arquivos PHP também podem ser usados ​​para injetar malware em um site.

No entanto, esta vulnerabilidade não é tão ruim quanto parece porque o invasor precisa de permissões de administrador para executar este ataque.

Vulnerabilidade de injeção de objeto PHP

De acordo com o WordPress, o segundo patch é para uma vulnerabilidade de cadeias POP de execução remota de código que pode permitir que um invasor execute código remotamente.

Uma vulnerabilidade do RCE POP Chains normalmente significa que há uma falha que permite que um invasor, normalmente por meio da manipulação de entradas que o site WordPress desserializa, execute código arbitrário no servidor.

A desserialização é o processo em que os dados são convertidos em um formato serializado (como uma string de texto). A desserialização é a parte em que eles são convertidos de volta à sua forma original.

Wordfence descreve esta vulnerabilidade como uma vulnerabilidade de injeção de objeto PHP e não menciona a parte RCE POP Chains.

É assim que o Wordfence descreve a segunda vulnerabilidade do WordPress:

“O segundo patch aborda a forma como as opções são armazenadas – primeiro as limpa antes de verificar o tipo de dados da opção – arrays e objetos são serializados, assim como os dados já serializados, que são serializados novamente. Embora isso já aconteça quando as opções são atualizadas, não foi executado durante a instalação, inicialização ou atualização do site.”

Esta também é uma vulnerabilidade de baixa ameaça, pois um invasor precisaria de permissões de administrador para lançar um ataque bem-sucedido.

Mesmo assim, o oficial Anúncio do WordPress da versão de segurança e manutenção recomenda atualizar a instalação do WordPress:

“Por se tratar de uma versão de segurança, é recomendável que você atualize seus sites imediatamente. Backports também estão disponíveis para outras versões importantes do WordPress, 4.1 e posteriores.”

Correções de bugs no núcleo do WordPress

Esta versão também corrige cinco bugs no núcleo do WordPress:

  1. O texto não é destacado ao editar uma página no Chrome Dev e Canary mais recente
  2. Atualize a versão padrão do PHP usada no ambiente Docker local para filiais mais antigas
  3. wp-login.php: mensagens/erros de login
  4. print_emoji_styles obsoletos produzidos durante a incorporação
  5. As páginas de anexos são desativadas apenas para usuários que estão logados

Além das cinco correções acima para o Core, há 16 correções de bugs adicionais para o Block Editor.

Leia o W oficialAnúncio de lançamento de segurança e manutenção do ordPress

Descrições do WordPress de cada uma das 21 correções de bugs

A descrição do Wordfence das vulnerabilidades:

A atualização de segurança do WordPress 6.4.3 – O que você precisa saber

Imagem em destaque por Shutterstock/Roman Samborskyi

Fonte: / www.searchenginejournal.com

Picture of QG Criativo
QG Criativo

Agência de Marketing Digital

Outros Posts

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.