WordPress, наиболее популярная система управления контентом, используемая более чем на 800 миллионах сайтов, выпустила обновление до версии 6.4.2. Это обновление устраняет zero-day уязвимость, позволяющую выполнять произвольный PHP-код на целевом веб-сайте.
Обнаруженная командой безопасности проекта уязвимость связана с техникой программирования, ориентированной на свойства (Property Oriented Programming,
В контексте безопасности, POP часто связан с уязвимостями, возникающими при десериализации данных. Десериализация – это процесс преобразования данных из формата, пригодного для хранения или передачи (например, в форме строки или файла), обратно в объекты языка программирования. Если в процессе десериализации данные не проверяются должным образом, злоумышленник может создать специально подготовленные данные, которые при десериализации приведут к выполнению нежелательных действий.
В случае с POP, атакующий использует особенности объектов, такие как магические методы (например, конструкторы и деструкторы объектов), и их свойства – для контроля над выполнением программы. Таким образом, манипулируя свойствами объектов, можно вызвать определённые методы и изменить ход выполнения программы, что может привести к выполнению произвольного кода, доступу к чувствительным данным или другим инцидентам безопасности.