Οι ιστοσελίδες που χρησιμοποιούν WordPress στην τελευταία έκδοση 6.1.1 είναι ευάλωτες στο CVE-2022-3590 όταν είναι ενεργοποιημένο το XML-RPC ή τα pingbacks.
Τι μπορεί να συμβεί
Ένας ιστότοπος WordPress μπορεί να αναγκαστεί να τρέξει αιτήματα σε συστήματα στο εσωτερικό δίκτυο για την αποκάλυψη ευαίσθητων πληροφοριών του server με blind πλαστογράφηση αιτημάτων από την πλευρά του διακομιστή (SSRF από το Server Side Request Forgery) μέσω επανασύνδεσης DNS.
Η πιθανότητα εκμετάλλευσης αυτής της ευπάθειας θεωρείται χαμηλή.
Τι πρέπει να κάνετε
Συνιστάται να εφαρμόσετε μία από τις ακόλουθες επιλογές:
Η πιο ασφαλής επιλογή είναι να απενεργοποιήσετε το xmlrpc.php. Αυτό θα πρέπει να εφαρμοστεί μόνο αν δεν το χρησιμοποιείτε το πρωτόκολλο XML-RPC:
Απενεργοποιήστε το xmlrpc.php απλά με ένα rename, ή με μια εντολή στο .htaccess, ή στο ngnix. Αν όλα αυτά σας φαίνονται κινέζικα αναζητήστε για “xmlrpc” για να εγκαταστήσετε κάποιο plugin που το απενεργοποιεί.
Μια λιγότερο ασφαλής επιλογή είναι να απενεργοποιήσετε τα Pingbacks. Αυτό συνιστάται εάν το WordPress εξαρτάται από το XML-RPC.
Απενεργοποιήστε τα pingbacks του WordPress από τον πίνακα ελέγχου
Αναμένουμε ενημέρωση από την WordPress, η οποία θα εγκατασταθεί αυτόματα.