خطر نفوذ به مدیریت محتوای «وردپرس»

این آسیب‌پذیری تنها سیستم مدیریت محتوا Wordpress را هدف نمی‌گیرد، چراکه آسیب‌پذیری در زبان برنامه‌نویسی PHP بوده و تمامی اپلیکیشن‌های مبتنی بر پی‌اچ‌پی (PHP-based) را تحت تاثیر خود قرار خواهد داد. این آسیب‌پذیری در ساختار Deserialization زبان برنامه نویسی PHP وجود دارد که همان عملکرد بازگرداندن String‌ها به PHP Object‌ها بوده و از سال ۲۰۰۹ که اولین بار محقق امنیت سایبری آلمانی به نام Stefan Esser حمله موفقیت‌آمیز به ساختار Deserialization را منتشر کرد، بارها آسیب‌پذیری‌های مشابه و Exploit‌های آنها توسط روش‌های مختلف منتشر شده که باعث حملات مختلف علیه سرورها و اپلیکیشن PHP‌ها شده است. آسیب‌پذیری جدید منتشر شده باعث می‌شود که نفوذگر بتواند داده‌های مدنظر خود را روی سرور قربانی آپلود کند. این خود باعث می‌شود که راهی را برای فراخوانی / /  :phar برای نفوذگر فراهم کند و در نهایت امکان اجرای کدهای آلوده روی سرور قابل انجام خواهد بود. این آسیب‌پذیری روی پروسه عملکرد توابع thumbnail در سیستم مدیریت محتوا Wordpress اثر می‌گذارد و در صورت آپلود فایل‌های عکس آلوده روی سرور مدنظر، امکان Exploit کردن این آسیب‌پذیری برای نفوذگر فراهم می‌شود. در تحقیقات اولیه علاوه بر وردپرس، سیستم مدیریت محتوا Typo۳ و Contao هم دارای این آسیب‌پذیری نشان دادند. برای انجام این حمله به وردپرس، دو فایل متفاوت Payload، یکی برای نسخه ۹/ ۴ و دیگری برای نسخه‌های پایین‌تر باید آماده شود. برخلاف وردپرس که تا این لحظه به‌روزرسانی برای رفع آسیب‌پذیری فوق ارائه نکرده است، تیم پشتیبانی Typo۳ در آخرین به‌روزرسانی خود این آسیب‌پذیری را رفع کرده است.