完全保护您的网站的唯一方法是立即安装更新。

WordPress是超过 8 亿个网站使用的最流行的内容管理系统， 已发布 版本 6.4.2 的更新。此更新解决了一个零日漏洞，该漏洞可能允许在目标网站上执行 任意PHP代码。

该项目安全团队发现的漏洞与WordPress 核心版本 6.4 中引入的面向属性编程 ( POP ) 技术 有关。该漏洞可导致在特定条件下执行任意 PHP 代码。

POP 链的一个特点是攻击者需要控制反序列化对象的所有属性，这要归功于 PHP unserialize() 函数。这可能会通过监视发送到所谓的魔术方法（例如“_wakeup()”）的值来导致应用程序线程劫持。

要成功对目标站点实施攻击，必须存在 PHP 对象注入漏洞，该漏洞可能存在于插件或主题附加组件中。

Wordfence 的 WordPress 安全专家提供了 更多技术细节。该问题与 WordPress 6.4 中引入的“WP_HTML_Token”类有关，该类用于改进块编辑器中的 HTML 解析。这个类包含一个神奇的方法“__destruct”，它使用“call_user_func”来执行“on_destroy”属性中定义的函数，并带有“bookmark_name”参数。

利用对象注入漏洞的攻击者可以控制这些属性来执行任意代码。

有条件执行回调函数的类析构函数

尽管该漏洞本身并不严重，但 WordPress 核心中存在可利用的 POP 链会显着增加基于该漏洞的网站的整体风险。

据 PatchStack 称，该问题的漏洞利用链几周前已 上传 到GitHub，随后添加到PHPGGC库中，用于测试 PHP 应用程序的安全性。

研究人员建议管理员更新到最新版本的 WordPress，尽管利用该漏洞需要满足某些条件。对于网站管理员来说，及时解决安全风险至关重要，确保黑客没有丝毫的攻击机会。