WordPress ha lanzado la versión de seguridad 6.4.3 como respuesta a dos vulnerabilidades identificadas junto con 21 correcciones de errores. Una de las vulnerabilidades abordadas es la Evasión de carga de archivos PHP, un fallo que permitía a los atacantes cargar archivos PHP a través del cargador de plugins y temas, lo que podría llevar a la inyección de malware en un sitio web. Es importante destacar que esta vulnerabilidad requiere permisos de administrador para llevar a cabo el ataque.
El segundo parche se enfoca en una vulnerabilidad de inyección de objetos PHP relacionada con Cadenas POP de Ejecución Remota de Código (RCE POP Chains). Esta vulnerabilidad podría permitir a los atacantes ejecutar código de forma remota, normalmente a través de la manipulación de la entrada que el sitio WordPress deserializa. Aunque Wordfence describe esto como una vulnerabilidad de PHP Object Injection, WordPress la aborda como una RCE POP Chains.
La versión WordPress 6.4.3 también aborda cinco errores en el núcleo de WordPress, incluyendo problemas con el resaltado de texto en las últimas versiones de Chrome Dev y Canary, actualización de la versión PHP por defecto en el entorno Docker local, mensajes/errores de inicio de sesión en wp-login.php, y correcciones relacionadas con el editor de bloques.
Dado que esta es una versión de seguridad, se recomienda a los usuarios actualizar sus instalaciones de WordPress de manera inmediata según el anuncio oficial. La actualización no solo aborda vulnerabilidades, sino que también corrige errores en el núcleo y en el editor de bloques.