Javítottak egy biztonsági sebezhetőséget a WordPress 6.4.2-es verziójában, ami által egy másik hibával összekapcsolva távoli kódvégrehajtás válik lehetővé. A WordPress hivatalos útmutatója szerint a hiba önmagában közvetlenül nem kihasználható, viszont egy másik sérülékenységgel együtt már kritikus szintű, különösen multisite telepítések esetén.
A Defiant kiberbiztonsági cég kutatói a 6.4-es verzióban lettek figyelmesek rá és POP chain-nek minősítették a „WP_HTML_Token” osztály hibáját. Ez az osztály tartalmaz egy „__destruct” nevű magic metódust, ami automatikusan lefut miután a PHP feldolgozott egy adott requestet. Amennyiben egy aktor képes lenne végrehajtani egy object injection támadást, akkor teljes irányítást szerezne az „on_destroy” és a „bookmark_name” tulajdonságok felett, ezekkel könnyedén futtathat tetszőleges kódot, amivel pedig teljes irányítást szerezhet az oldal felett.
Bár tény, hogy a WordPress core-ban jelenleg nincs ismert object injection sebezhetőség, ez sajnos nem mondható el a különféle bővítményeiről, témáiról. A POP chain sebezhetőség jelenléte a WordPressben súlyosbítja egy ilyen esetleges támadás következményeit.
A hibát úgy javították, hogy egy új metódust hoztak létre „__wakeup” néven, ami gátolja a sérülékeny függvény lefutását.
A legtöbb oldalnak elsődlegesen automatikusan frissülnie kellene a WordPress 6.4.2-re, tehát a javított verzióra, azonban a biztonság érdekében mégis erősen ajánlott ezt manuálisan ellenőrizni, ha nem történt meg akkor kézzel frissíteni és ezeken felül a WordPress hivatalos útmutatója szerint eljárni.
