WordPress がバージョン 6.4.2 をリリースしました。これには重大なセキュリティ脆弱性に対するパッチが含まれており、脅威アクターが悪用して別の脆弱性と組み合わせ、脆弱な Web サイトで任意の PHP コードを実行する可能性があります。
WordPress 公式 Web サイトの発表では次のように述べられています。「これはコアで直接悪用できないバグです。リモートでコードが実行される脆弱性; ただし、セキュリティ チームは、特定のプラグインと組み合わせると、特にマルチサイトのインストールでは、重大なセキュリティ脆弱性を引き起こす可能性があると考えています。 」
WordPress セキュリティ会社 Wordfence によると、この問題の根本原因は次のとおりです。ワードプレスバージョン 6.4 で導入された WP_HTML_Token クラス。このクラスは、ブロック エディターでの HTML 解析を改善するように設計されています。
攻撃者は、他のプラグインやテーマに存在する PHP オブジェクト インジェクションの脆弱性を悪用して 2 つの問題を連鎖させ、任意のコードを実行し、ターゲット サイトの制御を掌握する可能性があります。
Wordfence は以前、2023 年 9 月に次のように述べています。「ターゲット システムにインストールされている追加のプラグインまたはテーマを介した POP [プロパティ指向プログラミング] がある場合」1] チェーンが存在すると、攻撃者は任意のファイルを削除したり、機密データを取得したり、コードを実行したりできる可能性があります。 」。
Patchstackからの同様の発表の中で、同社はエクスプロイトチェーンが11月17日からGitHubで利用可能になったと述べた2、PHP Generic Gadget Chains (PHPGGC) プロジェクトに追加されました。ユーザーは、Web サイトを手動でチェックして、最新バージョンに更新されていることを確認することをお勧めします。
「あなたが開発者で、プロジェクトに逆シリアル化関数への関数呼び出しが含まれている場合は、それを、json_encode および json_decode PHP 関数を使用した JSON エンコード/デコードなど、他のものに置き換えることを強くお勧めします。」と Patchstack 最高技術責任者の Dave 氏は述べています。ジョンさんは言いました。
参考文献の引用:
- https://dl.acm.org/doi/10.1145/2660267.2660363 ↩︎
- https://github.com/ambionics/phpggc/tree/master/gadgetchains/WordPress/RCE ↩︎
元記事はChief Security Officerによるもので、転載の際はhttps://www.cncso.com/jp/wordpress-high-risk-remote-code-execution-vulnerability.html。
