WordPress 6.4.2 opravuje závažnou bezpečnostní zranitelnost

Podle serveru The Hacker News vydal WordPress verzi 6.4.2, která opravuje závažnou bezpečnostní zranitelnost, kterou by mohli hackeři v kombinaci s další chybou zneužít ke spuštění libovolného PHP kódu na webových stránkách, které tuto zranitelnost stále mají.

Zranitelnost umožňující vzdálené spuštění kódu nelze zneužít přímo v jádře, ale bezpečnostní tým se domnívá, že má potenciál způsobit vysokou závažnost v kombinaci s určitými pluginy, zejména v instalacích na více webech, uvedla společnost.

Podle bezpečnostní firmy Wordfence problém pramení z třídy zavedené ve verzi 6.4, která má vylepšit parsování HTML v blokovém editoru. Prostřednictvím ní může útočník zneužít tuto zranitelnost k vložení objektů PHP obsažených v pluginech nebo šablonách, aby spustil libovolný kód a získal kontrolu nad cílovou webovou stránkou. V důsledku toho může útočník smazat libovolné soubory, načíst citlivá data nebo spustit kód.

V podobném upozornění Patchstack uvedl, že k 17. listopadu byl na GitHubu nalezen řetězec exploitů, který byl přidán do projektu PHP Common Utility Chains (PHPGGC). Uživatelé by si měli ručně zkontrolovat své webové stránky, aby se ujistili, že mají aktualizaci na nejnovější verzi.

WordPress je bezplatný, snadno použitelný a celosvětově populární systém pro správu obsahu. Díky snadné instalaci a rozsáhlé podpoře mohou uživatelé rychle vytvářet nejrůznější webové stránky od online obchodů, portálů, diskusních fór...

Podle údajů společnosti W3Techs bude WordPress v roce 2023 pohánět 45,8 % všech webových stránek na internetu, oproti 43,2 % v roce 2022. To znamená, že více než 2 z 5 webových stránek budou poháněny WordPressem.