Bleeping Computer 網(wǎng)站消息，WordPress 近期發(fā)布了 6.4.2 更新版本，修復(fù)了一個(gè)遠(yuǎn)程代碼執(zhí)行 (RCE) 漏洞。據(jù)悉，該漏洞能夠與另外一個(gè)安全漏洞形成”聯(lián)動(dòng)“，允許威脅攻擊者在目標(biāo)網(wǎng)站上運(yùn)行任意 PHP 代碼。

WordPress 是一種非常流行的開源內(nèi)容管理系統(tǒng)（CMS），主要用于創(chuàng)建和管理網(wǎng)站，目前已經(jīng)有 8 億多個(gè)網(wǎng)站使用它，約占互聯(lián)網(wǎng)上所有網(wǎng)站的 45%。然而，該項(xiàng)目的安全團(tuán)隊(duì)在 WordPress core 6.4 中發(fā)現(xiàn)了一個(gè)面向?qū)傩跃幊蹋≒OP）鏈漏洞，在某些條件下，該漏洞可允許未經(jīng)授權(quán)的威脅攻擊者執(zhí)行任意 PHP 代碼。

POP 鏈”要求“威脅攻擊者控制反序列化對(duì)象的所有屬性，而 PHP 的 unserialize() 函數(shù)正好可以做到這一點(diǎn)，一旦這樣操作的話，威脅攻擊者有可能通過(guò)控制發(fā)送到 megic 方法（如"_wakeup()"）的值來(lái)劫持應(yīng)用程序的流程。值得一提的是，這個(gè)安全問(wèn)題需要受害目標(biāo)網(wǎng)站上存在 PHP 對(duì)象注入漏洞（可能存在于插件或主題附加組件中）才能產(chǎn)生最惡劣的影響。

WordPress 方面指出，該遠(yuǎn)程代碼執(zhí)行漏洞雖然在內(nèi)核中無(wú)法直接被攻擊者利用，但安全團(tuán)隊(duì)認(rèn)為如果與某些插件結(jié)合使用，尤其是在多站點(diǎn)安裝中，就有可能造成嚴(yán)重后果。

Wordfence 的 WordPress 安全專家的 PSA 提供了有關(guān)該安全問(wèn)題的一些技術(shù)細(xì)節(jié)，并解釋稱該安全問(wèn)題出現(xiàn)在 WordPress 6.4 中引入的“WP_HTML_Token”類中，以改進(jìn)塊編輯器中的 HTML 解析，該類包含一個(gè)“__destruct”magic 方法，該方法使用“call_user_func”執(zhí)行在“on_decurt”屬性中定義的函數(shù)，并將“bookmark_name”作為參數(shù)。

最后， 研究人員強(qiáng)調(diào)，威脅攻擊者能夠利用對(duì)象注入漏洞，輕松控制這些屬性來(lái)執(zhí)行任意代碼。

有條件執(zhí)行回調(diào)函數(shù)的類析構(gòu)函數(shù)（Patchstack）

盡管該安全漏洞本身可能并不嚴(yán)重，但由于需要在已安裝和活動(dòng)的插件或主題上注入對(duì)象，WordPress 核心中存在可利用的 POP 鏈會(huì)顯著增加 WordPress 網(wǎng)站的總體風(fēng)險(xiǎn)。Patchstack 針對(duì) WordPress 和插件的安全平臺(tái)發(fā)出的通知中強(qiáng)調(diào)，針對(duì)該問(wèn)題的漏洞利用鏈已于幾周前上傳至 GitHub，隨后被添加到用于 PHP 應(yīng)用程序安全測(cè)試的 PHPGGC 庫(kù)中。

最后，即使該漏洞只是潛在的安全問(wèn)題，而且在某些特定情況下才可以被威脅攻擊者利用，但安全研究人員還是建議管理員盡快更新到最新的 WordPress 版本。

參考文章：https://www.bleepingcomputer.com/news/security/wordpress-fixes-pop-chain-exposing-websites-to-rce-attacks/