O WordPress lançou uma atualização para corrigir uma vulnerabilidade de injeção de objeto classificada pelo National Vulnerability Database como crítica.
Embora a exploração seja rotulada como crítica, um pesquisador de segurança afirma que a probabilidade da vulnerabilidade ser explorada é remota.
O patch é aplicado ao WordPress versão 5.7.2. Os sites que optaram por download automático devem receber essa atualização sem nenhuma ação adicional por parte dos responsáveis pelos sites.
Incentivamos verificar qual versão do WordPress estão usando para garantir que estejam atualizados para a versão 5.7.2.
Como funciona essa vulnerabilidade?
De acordo com o site de segurança Owasp.org, esta é a definição de uma vulnerabilidade de injeção de objeto PHP:
PHP Object Injection é uma vulnerabilidade ao nível de aplicativo que pode permitir que um invasor execute diferentes tipos de ataques maliciosos, como Code Injection, SQL Injection, Path Traversal e Application Denial of Service, dependendo do contexto. A vulnerabilidade ocorre quando a entrada fornecida pelo usuário não é devidamente higienizada antes de ser passada para a função unserialize () do PHP. Como o PHP permite a serialização de objetos, os invasores podem passar strings serializadas ad-hoc para uma chamada unserialize () vulnerável, resultando em uma injeção arbitrária de objeto (s) PHP no escopo do aplicativo.
Essa vulnerabilidade é realmente critica?
A vulnerabilidade é classificada próximo ao nível de classificação mais alto de criticidade. Em uma escala de 1 a 10 usando o Common Vulnerability Scoring System (CVSS), essa vulnerabilidade é avaliada em 9,8.
De acordo com o site de segurança Patchstack que publicou detalhes da vulnerabilidade:
Vulnerabilidade de injeção de objeto no PHPMailer descoberta no WordPress (um problema de segurança que afeta as versões do WordPress entre 3.7 e 5.7).
SOLUÇÃO: Atualize o WordPress para a versão mais recente disponível (pelo menos 5.7.2). Todas as versões do WordPress desde 3.7 também foram atualizadas para corrigir o seguinte problema de segurança.
O anúncio oficial do WordPress para WordPress 5.7.2 afirmava:
Um problema de segurança afeta as versões do WordPress entre 3.7 e 5.7.
Se você ainda não atualizou para 5.7, todas as versões do WordPress desde 3.7 também foram atualizadas para corrigir os seguintes problemas de segurança:
Injeção de objeto no PHPMailer
Atualize o WordPress imediatamente
Os usuários que usam o WordPress devém verificar se suas instalações do WordPress são as mais recentes. A versão mais atual do WordPress é a 5.7.2.
Como a classificação de vulnerabilidade é crítica, pode significar que as consequências de não atualizar o WordPress para a versão 5.7.2 podem deixar um site vulnerável a um evento de hacking.
