El primer parche aborda una vulnerabilidad que permite a los usuarios con privilegios de administrador (o superadministrador en multisitios) cargar archivos PHP directamente a un sitio mediante el mecanismo de carga de archivos de plugins y temas. Esta preocupación se presenta principalmente en configuraciones altamente restringidas que no permiten a los administradores instalar plugins y temas a través de un método separado. Desde agosto de 2023, Wordfence ha identificado este problema como una alerta de seguridad informativa de baja prioridad, aunque ha sido conocido públicamente desde agosto de 2018.
El segundo parche se centra en la manera en que se almacenan las opciones, desinfectándolas antes de verificar el tipo de datos de la opción. Se serializan las matrices y objetos, así como los datos ya serializados, los cuales se vuelven a serializar. Aunque esta acción ya ocurre al actualizar las opciones, no se llevaba a cabo durante la instalación, inicialización o actualización del sitio. La versión 6.4.3 de WordPress implementa esta corrección para abordar un posible problema de inyección de objetos PHP.
Ambas vulnerabilidades parecen requerir un usuario altamente privilegiado o un atacante que encuentre un sitio con una instalación incompleta para ser explotadas, siendo poco probable que afecten a la mayoría de los sitios de WordPress en el mundo real.
Cabe destacar que ambos parches también se han aplicado a versiones de WordPress desde la 4.1 en adelante.
En resumen, los parches de seguridad de WordPress 6.4.3 resuelven dos problemas menores en el núcleo de WordPress y se consideran principalmente como medidas preventivas, ya que las circunstancias en las que podrían afectar la seguridad son extremadamente raras. No obstante, se recomienda actualizar en un plazo razonable, especialmente si su sitio requiere una configuración reforzada debido a normativas específicas.