O WordPress lançou uma atualização para corrigir uma vulnerabilidade de injeção de objeto classificada pelo Banco de Dados De Vulnerabilidade Nacional como crítica.

Uma vulnerabilidade do WordPress classificada como crítica foi corrigida. O patch é aplicado na versão 5.7.2 do WordPress. Os sites optado pelo download automático devem receber esta atualização sem qualquer ação adicional dos editores.

Os editores são encorajados a verificar qual versão do WordPress eles estão usando para garantir que eles sejam atualizados para a versão 5.7.2.

Vulnerabilidade

A vulnerabilidade que está afetando o WordPress é chamada de vulnerabilidade de injeção de objeto. Especificamente, é uma injeção de objeto na vulnerabilidade PHPMailer.

De acordo com o site de segurança Owasp.org, esta é a definição de uma vulnerabilidade de injeção de objeto PHP:

“A injeção de objetos PHP é uma vulnerabilidade de nível de aplicativo que pode permitir que um invasor realize diferentes tipos de ataques maliciosos, como Injeção de Código, Injeção SQL, Prevenção de Caminhos e Negação de Aplicativos de Serviço, dependendo do contexto.

A vulnerabilidade ocorre quando a entrada fornecida pelo usuário não é adequadamente higienizada antes de ser passada para a função PHP não-sializa.

Uma vez que o PHP permite a serialização de objetos, os atacantes podem passar strings serializadas ad-hoc para uma chamada vulnerável sem seerialize(), resultando em uma injeção arbitrária de objeto PHP no escopo do aplicativo.”

Vulnerabilidade do WordPress classificada como crítica

A vulnerabilidade é classificada perto do nível de maior nível de perigo. Em uma escala de 1 a 10 utilizando o Sistema Comum de Pontuação de Vulnerabilidade (CVSS), essa vulnerabilidade é avaliada em 9,8.

O site de segurança Patchstack publicou a classificação oficial de vulnerabilidade do governo dos Estados Unidos.

Vulnerabilidade do WordPress avaliada como crítica

De acordo com o site de segurança Patchstack que publicou detalhes da vulnerabilidade:

“Detalhes

Injeção de objeto na vulnerabilidade PHPMailer descoberta no WordPress (um problema de segurança que afeta as versões do WordPress entre 3.7 e 5.7).

Solução

Atualize o WordPress para a versão mais recente disponível (pelo menos 5.7.2). Todas as versões do WordPress desde o 3.7 também foram atualizadas para corrigir o seguinte problema de segurança.”

O anúncio oficial do WordPress para o WordPress 5.7.2 dizia:

“Atualizações de segurança Um problema de segurança afeta as versões do WordPress entre 3.7 e 5.7.

Se você ainda não atualizou para 5.7, todas as versões do WordPress desde o 3.7 também foram atualizadas para corrigir os seguintes problemas de segurança: Injeção de objeto no PHPMailer”

O site oficial do Banco de Dados de Vulnerabilidade Nacional do governo dos Estados Unidos que anuncia vulnerabilidades observou que esse problema aconteceu porque uma correção para uma vulnerabilidade anterior criou uma nova.

Atualize o WordPress imediatamente

Os editores que usam o WordPress devem considerar verificar se suas instalações do WordPress são as mais recentes. A versão mais atual do WordPress é a versão 5.7.2.

Como a classificação de vulnerabilidade é crítica, pode significar que as consequências de não atualizar o WordPress para a versão 5.7.2 podem deixar um site vulnerável a um evento de hackers.

Fontes:

Comunicado WordPress da versão 5.7.2