Alerta de dependabot: Unsafe deserialization dentro de wp-includes | WordPress.org España

nino_ort
(@nino_ort)

hace 2 meses, 1 semana

Hola!

Tengo una alerta de seguridad desde mi repositorio de github de dependabot:

PHPUnit Vulnerable to Unsafe Deserialization in PHPT Code Coverage Handling

en el archivo wordpress/wp-includes/sodium_compat/composer.json

Es algo conocido o que pueda ser solucionado en futuras actualizaciones?

Gracias!

Viendo 1 respuesta (de un total de 1)

Javier Casares
(@javiercasares)

hace 2 meses, 1 semana

Es un CVE conocido y parcheado.

En cualquier caso, si lo que tienes en producción es el núcleo de WordPress, y no ejecutas ningún elemento de desarrollo, no debería ser un problema en principio. Por defecto, WordPress no ejecuta PHPUnit (aunque aparezca en los ficheros) por lo que, a menos que lo tengas instalado y funcionando (habitual en entornos de desarrollo) no ha de afectar.

La explotación requiere capacidad de escribir/colocar un archivo .coverage malicioso antes de ejecutar el test (por ejemplo, vía PR malicioso o contaminación del workspace/cache del runner). No es un bug remoto típico del runtime de WordPress; es más un riesgo de CI/CD / supply chain.

Viendo 1 respuesta (de un total de 1)

Debes estar registrado para responder a este debate.

En: Seguridad
1 respuesta
2 participantes
Última respuesta de: Javier Casares
Última actividad: hace 2 meses, 1 semana
Estado: sin resolver

Debates

Debates populares

Debates sin respuestas

Debates que no son soporte

Debates resueltos

Debates no resueltos

Todos los debates