WordPress kündigte eine Sicherheitsversion Version 6.4.3 als Reaktion auf zwei in WordPress entdeckte Schwachstellen sowie 21 Fehlerbehebungen an.
Umgehung des PHP-Datei-Uploads
Der erste Patch behebt eine Sicherheitslücke im PHP File Upload Bypass Via Plugin Installer. Es handelt sich um einen Fehler in WordPress, der es einem Angreifer ermöglicht, PHP-Dateien über das Plugin und den Theme-Uploader hochzuladen. PHP ist eine Skriptsprache, die zur Generierung von HTML verwendet wird. PHP-Dateien können auch verwendet werden, um Malware in eine Website einzuschleusen.
Diese Sicherheitslücke ist jedoch nicht so schlimm, wie es sich anhört, da der Angreifer Berechtigungen auf Administratorebene benötigt, um diesen Angriff auszuführen.
Sicherheitslücke bezüglich PHP-Objektinjektion
Laut WordPress handelt es sich bei dem zweiten Patch um eine Schwachstelle in der Remote Code Execution POP Chains, die es einem Angreifer ermöglichen könnte, Code aus der Ferne auszuführen.
Eine Schwachstelle in RCE POP Chains bedeutet typischerweise, dass ein Fehler vorliegt, der es einem Angreifer ermöglicht, beliebigen Code auf dem Server auszuführen, typischerweise durch Manipulation von Eingaben, die die WordPress-Site deserialisiert.
Bei der Deserialisierung handelt es sich um den Prozess, bei dem Daten in ein serialisiertes Format (z. B. eine Textzeichenfolge) konvertiert werden. Bei der Deserialisierung werden die Daten wieder in ihre ursprüngliche Form konvertiert.
Wordfence beschreibt diese Schwachstelle als PHP-Object-Injection-Schwachstelle und erwähnt den RCE-POP-Chains-Teil nicht.
So beschreibt Wordfence die zweite WordPress-Schwachstelle:
„Der zweite Patch befasst sich mit der Art und Weise, wie Optionen gespeichert werden – er bereinigt sie zunächst, bevor der Datentyp der Option überprüft wird – Arrays und Objekte werden serialisiert, ebenso wie bereits serialisierte Daten, die erneut serialisiert werden.“ Dies geschieht zwar bereits, wenn Optionen aktualisiert werden, wurde jedoch nicht während der Installation, Initialisierung oder Aktualisierung des Standorts durchgeführt.“
Auch hier handelt es sich um eine Schwachstelle mit geringer Bedrohung, da ein Angreifer Berechtigungen auf Administratorebene benötigt, um einen erfolgreichen Angriff zu starten.
Dennoch empfiehlt die offizielle WordPress-Ankündigung der Sicherheits- und Wartungsversion, die WordPress-Installation zu aktualisieren:
„Da es sich um eine Sicherheitsversion handelt, wird empfohlen, dass Sie Ihre Websites sofort aktualisieren. Backports sind auch für andere große WordPress-Versionen, 4.1 und höher, verfügbar.“
Fehlerbehebungen in WordPress Core
Diese Version behebt außerdem fünf Fehler im WordPress-Kern:
- Text wird beim Bearbeiten einer Seite in den neuesten Chrome Dev- und Canary-Versionen nicht hervorgehoben
- Aktualisieren Sie die in der lokalen Docker-Umgebung verwendete Standard-PHP-Version für ältere Zweige
- wp-login.php: Anmeldemeldungen/Fehler
- Veraltete print_emoji_styles, die während der Einbettung erstellt wurden
- Anhangsseiten sind nur für angemeldete Benutzer deaktiviert
Zusätzlich zu den oben genannten fünf Korrekturen am Kern gibt es weitere 16 Fehlerbehebungen am Blockeditor.
Lesen Sie die offizielle Ankündigung zur WordPress-Sicherheits- und Wartungsversion
WordPress-Beschreibungen aller 21 Fehlerbehebungen
Die Wordfence-Beschreibung der Schwachstellen:
Das WordPress 6.4.3-Sicherheitsupdate – Was Sie wissen müssen
Ausgewähltes Bild von Shutterstock/Roman Samborskyi