【安全圈】WordPress更新！修复远程代码执行漏洞

关键词安全漏洞WordPress发布了6.4.2版本，修复了一个远程代码执行（RCE）漏洞。据悉，该漏洞与另一个安全漏洞相结合，允许攻击者在目标网站上运行任意PHP代码。WordPress是一种广受欢迎的开源内容管理系统（CMS），用于创建和管理网站。目前，有超过8亿个网站使用WordPress，占据互联网上所有网站的约45%。然而，在WordPress core 6.4中，安全团队发现了一个面向属性编程（POP）链漏洞，该漏洞在特定条件下可能允许未经授权的攻击者执行任意PHP代码。POP链漏洞要求攻击者控制反序列化对象的所有属性，而PHP的unserialize()函数正好可以做到这一点。一旦攻击者控制了这些属性，就有可能通过控制发送到magic方法（如"_wakeup()"）的值来劫持应用程序的流程。值得注意的是，这个安全问题需要目标网站存在PHP对象注入漏洞（可能存在于插件或主题附加组件中） ………………………………