WordPress est un système de gestion de contenu open-source très populaire, utilisé pour créer et gérer des sites web.
L’équipe de sécurité du projet a découvert une vulnérabilité de la chaîne de programmation orientée propriété qui a été introduite dans WordPress core 6.4, qui, sous certaines conditions, pourrait permettre l’exécution arbitraire de code PHP.
Une note d’information rédigée par les experts en sécurité de Wordfence fournit des détails techniques supplémentaires sur le problème, expliquant qu’il s’agit de la classe « WP HTML Token », introduite dans WordPress 6.4 pour améliorer l’analyse HTML dans l’éditeur de blocs.
Bien que la faille ne soit pas critique en soi, en raison de la nécessité d’une injection d’objet sur des plugins ou des thèmes installés et actifs, la présence d’une chaîne POP exploitable dans le cœur de WordPress augmente considérablement le risque global pour les sites WordPress.
Une autre notification de la plateforme de sécurité Patchstack pour WordPress et les plugins souligne qu’une chaîne d’exploitation pour ce problème a été téléchargée il y a plusieurs semaines sur GitHub et ajoutée par la suite à la bibliothèque PHPGGC, qui est utilisée dans les tests de sécurité des applications PHP.
Le bogue du plugin WP Fastest Cache expose 600 000 sites WordPress à des attaques.
