Oggi, 6 dicembre 2023, WordPress ha rilasciato la versione 6.4.2, contenente una patch fondamentale per affrontare una vulnerabilità di sicurezza scoperta nella precedente versione 6.4. Questa correzione è di vitale importanza, in quanto mitigua i rischi legati a una catena Point of Presence (POP) e a una vulnerabilità di Object Injection che, se sfruttate congiuntamente, potrebbero portare a gravi problemi di sicurezza consentendo agli aggressori di eseguire codice PHP arbitrario sul sito.
Aggiornamento Urgente Consigliato
WordPress incita tutti gli utenti a effettuare l’aggiornamento immediato alla versione 6.4.2 al fine di proteggere i propri siti web da potenziali attacchi. La mancata adozione di questa correzione potrebbe lasciare il sito esposto a un controllo completo da parte di aggressori qualora fosse presente un’altra vulnerabilità.
Analisi Tecnica della Vulnerabilità
L’analisi tecnica rivela che la vulnerabilità è situata nella classe WP_HTML_Token, introdotta nella versione 6.4 di WordPress. Questa classe è utilizzata per migliorare l’analisi HTML nell’editor dei blocchi. Il problema risiede nel metodo magico __destruct, che viene eseguito automaticamente dopo che PHP ha elaborato la richiesta. Tale metodo utilizza call_user_func per eseguire la funzione passata tramite la proprietà on_destroy, accettando la proprietà bookmark_name come argomento.
Il Ruolo della Catena POP
La presenza di una catena Point of Presence (POP) nella classe WP_HTML_Token costituisce un elemento chiave che rende sfruttabile la vulnerabilità di Object Injection. Questo, combinato con il controllo completo che un aggressore potrebbe ottenere tramite la gestione delle proprietà on_destroy e bookmark_name, crea un rischio significativo.
La Patch Cruciale
La correzione apportata con WordPress 6.4.2 introduce il metodo __wakeup, che impedisce l’esecuzione della funzione __destruct quando un oggetto serializzato con la classe WP_HTML_Token viene deserializzato. Questa misura è essenziale per mitigare il rischio di esecuzione di codice arbitrario sul sito.
Protezione per gli Utenti Wordfence
Gli utenti di Wordfence Premium, Wordfence Care e Wordfence Response possono beneficiare immediatamente della protezione fornita dalla nuova regola firewall. Gli utenti gratuiti di Wordfence riceveranno la stessa protezione entro 30 giorni, il 5 gennaio 2024.
Conclusioni e Invito alla Comunità WordPress
In conclusione, è fondamentale condividere questa informazione con tutti coloro che utilizzano WordPress. Nonostante la maggior parte dei siti debba aggiornarsi automaticamente, un controllo manuale è vivamente consigliato per garantire la sicurezza del proprio sito web. La collaborazione della comunità è essenziale per mitigare il rischio di attacchi e assicurare un’esperienza online sicura per tutti gli utenti WordPress.