O WordPress anunciou o lançamento da versão 6.4.3 como uma resposta a duas vulnerabilidades descobertas no WordPress, além de 21 correções de bugs.
A primeira correção é para uma vulnerabilidade chamada “Bypass de Upload de Arquivo PHP via Instalador de Plugin”. Trata-se de uma falha no WordPress que permite que um invasor faça upload de arquivos PHP por meio do instalador de plugins e temas.
Arquivos PHP podem ser usados para injetar malware em um site. No entanto, essa vulnerabilidade não é tão grave quanto parece, pois o invasor precisa ter permissões de nível administrativo para executar esse tipo de ataque.
A segunda correção é para uma vulnerabilidade chamada “Vulnerabilidade de Injeção de Objetos PHP”. Segundo o WordPress, essa correção aborda uma vulnerabilidade de “Execução Remota de Código com Cadeias POP”.
Uma vulnerabilidade de Cadeias POP de Execução Remota de Código geralmente significa que há uma falha que permite que um invasor, normalmente manipulando a entrada que o site WordPress desserializa, execute código arbitrário no servidor. Essa vulnerabilidade também é de baixo risco, pois um invasor precisaria ter permissões de administrador para lançar um ataque bem-sucedido.
Além das correções de segurança, a atualização também traz cinco correções de bugs no núcleo do WordPress, incluindo problemas com destaque de texto na edição de páginas no Chrome Dev e Canary, atualização da versão padrão do PHP usada no ambiente Docker local para versões mais antigas, mensagens/erros de login no wp-login.php, código obsoleto produzido durante a exibição de emojis e a desativação de páginas de anexos apenas para usuários logados.
É altamente recomendado que os usuários atualizem suas instalações do WordPress para a versão 6.4.3 ou apliquem os patches disponíveis para outras versões importantes a partir do WordPress 4.1. Essas medidas ajudarão a garantir a segurança e a estabilidade do seu site.
