WordPress 6.4.2 opravuje závažnou bezpečnostní zranitelnost

Podle serveru The Hacker News vydal WordPress verzi 6.4.2, která opravuje závažnou bezpečnostní zranitelnost, kterou by mohli hackeři v kombinaci s další chybou zneužít ke spuštění libovolného PHP kódu na webových stránkách, které tuto zranitelnost stále mají.

Zranitelnost umožňující vzdálené spuštění kódu nelze zneužít přímo v jádru, ale bezpečnostní tým se domnívá, že v kombinaci s určitými pluginy může způsobit vysoce závažnou zranitelnost, zejména v instalacích na více místech, uvedla společnost.

Podle bezpečnostní firmy Wordfence problém pramení z třídy zavedené ve verzi 6.4, která má vylepšit parsování HTML v blokovém editoru. Prostřednictvím ní by mohl útočník zneužít tuto zranitelnost k vložení objektů PHP obsažených v pluginech nebo šablonách, které by mohly být kombinovány za účelem spuštění libovolného kódu a získání kontroly nad cílovou webovou stránkou. V důsledku toho by útočník mohl smazat libovolné soubory, načíst citlivá data nebo spustit kód.

V podobném upozornění Patchstack uvedl, že k 17. listopadu byl na GitHubu nalezen řetězec exploitů, který byl přidán do projektu PHP Common Utility Chains (PHPGGC). Uživatelé by si měli ručně zkontrolovat své webové stránky, aby se ujistili, že mají aktualizaci na nejnovější verzi.

WordPress je bezplatný, snadno použitelný a celosvětově populární systém pro správu obsahu. Díky snadné instalaci a rozsáhlé podpoře mohou uživatelé rychle vytvářet nejrůznější webové stránky od online obchodů, portálů, diskusních fór...

Podle údajů společnosti W3Techs bude WordPress v roce 2023 pohánět 45,8 % všech webových stránek na internetu, oproti 43,2 % v roce 2022. To znamená, že více než 2 z každých 5 webových stránek budou poháněny WordPressem.