Mit der aktuellen Version 6.4.2 des Content Management Systems WordPress verschwindet eine kritische Sicherheitslücke, die unter eher unwahrscheinlichen Umständen das Ausführen von Code aus der Ferne ermöglicht.
WordPress 6.4.2 enthält einen Patch für die in Version 6.4 eingeführte POP-Chain, die in Kombination mit einer separaten Object Injection-Schwachstelle, etwa in einem Plug-In oder einem Theme, zu einer kritischen Sicherheitslücke anwächst. Angreifern könnten dann beliebigen PHP-Code auf der Site ausführen, teilen die Entdecker der Lücke von Wordfence mit.
Das Problem stecke in der Klasse WP_HTML_Token, die in WordPress 6.4 eingeführt wurde und die dazu dient, das HTML-Parsing im Block-Editor zu verbessern. Sie enthält laut den Experten eine Methode “__destruct”, die automatisch ausgeführt wird, nachdem PHP die Anfrage verarbeitet hat. Die “__destruct”-Methode verwende “call_user_func”, um die über die “on_destroy”-Eigenschaft übergebene Funktion auszuführen, wobei sie die “bookmark_name”-Eigenschaft als Argument akzeptiert:
Könnte ein Angreifer eine separate Object Injection-Schwachstelle auszunutzen, die volle Kontrolle über die “on_destroy-” und “bookmark_name”-Eigenschaften hätte, könnte er wiederum diese Lücke nutzen, um beliebigen Code auf der Website auszuführen und so die volle Kontrolle erlangen.
Das Update von WordPress bringt neben dem Patch für die Lücke weitere Verbesserungen mit.
