Bleeping Computer 網站消息，WordPress 近期發(fā)布了 6.4.2 更新版本，修復了一個遠程代碼執(zhí)行 (RCE) 漏洞。據悉，該漏洞能夠與另外一個安全漏洞形成”聯動“，允許威脅攻擊者在目標網站上運行任意 PHP 代碼。

WordPress 是一種非常流行的開源內容管理系統(tǒng)（CMS），主要用于創(chuàng)建和管理網站，目前已經有 8 億多個網站使用它，約占互聯網上所有網站的 45%。然而，該項目的安全團隊在 WordPress core 6.4 中發(fā)現了一個面向屬性編程（POP）鏈漏洞，在某些條件下，該漏洞可允許未經授權的威脅攻擊者執(zhí)行任意 PHP 代碼。

POP 鏈”要求“威脅攻擊者控制反序列化對象的所有屬性，而 PHP 的 unserialize() 函數正好可以做到這一點，一旦這樣操作的話，威脅攻擊者有可能通過控制發(fā)送到 megic 方法（如"_wakeup()"）的值來劫持應用程序的流程。值得一提的是，這個安全問題需要受害目標網站上存在 PHP 對象注入漏洞（可能存在于插件或主題附加組件中）才能產生最惡劣的影響。

WordPress 方面指出，該遠程代碼執(zhí)行漏洞雖然在內核中無法直接被攻擊者利用，但安全團隊認為如果與某些插件結合使用，尤其是在多站點安裝中，就有可能造成嚴重后果。

Wordfence 的 WordPress 安全專家的 PSA 提供了有關該安全問題的一些技術細節(jié)，并解釋稱該安全問題出現在 WordPress 6.4 中引入的“WP_HTML_Token”類中，以改進塊編輯器中的 HTML 解析，該類包含一個“__destruct”magic 方法，該方法使用“call_user_func”執(zhí)行在“on_decurt”屬性中定義的函數，并將“bookmark_name”作為參數。

最后， 研究人員強調，威脅攻擊者能夠利用對象注入漏洞，輕松控制這些屬性來執(zhí)行任意代碼。

有條件執(zhí)行回調函數的類析構函數（Patchstack）

盡管該安全漏洞本身可能并不嚴重，但由于需要在已安裝和活動的插件或主題上注入對象，WordPress 核心中存在可利用的 POP 鏈會顯著增加 WordPress 網站的總體風險。Patchstack 針對 WordPress 和插件的安全平臺發(fā)出的通知中強調，針對該問題的漏洞利用鏈已于幾周前上傳至 GitHub，隨后被添加到用于 PHP 應用程序安全測試的 PHPGGC 庫中。

最后，即使該漏洞只是潛在的安全問題，而且在某些特定情況下才可以被威脅攻擊者利用，但安全研究人員還是建議管理員盡快更新到最新的 WordPress 版本。

參考文章：https://www.bleepingcomputer.com/news/security/wordpress-fixes-pop-chain-exposing-websites-to-rce-attacks/