WordPress 6.4.2 behebt schwerwiegende Sicherheitslücke

Laut The Hacker News hat WordPress die Version 6.4.2 veröffentlicht, die eine schwerwiegende Sicherheitslücke schließt, die von Hackern in Kombination mit einem anderen Fehler ausgenutzt werden könnte, um beliebigen PHP-Code auf Websites auszuführen, die noch immer von dieser Sicherheitslücke betroffen sind.

Die Sicherheitslücke, die die Remotecodeausführung ermöglicht, kann nicht direkt im Kern ausgenutzt werden, das Sicherheitsteam ist jedoch der Ansicht, dass sie in Kombination mit bestimmten Plug-Ins, insbesondere bei Multisite-Installationen, möglicherweise eine schwerwiegende Sicherheitslücke darstellt, so das Unternehmen.

Laut dem Sicherheitsunternehmen Wordfence liegt das Problem an einer in Version 6.4 eingeführten Klasse zur Verbesserung der HTML-Analyse im Blockeditor. Dadurch könnte ein Angreifer die Schwachstelle ausnutzen, um in Plugins oder Themes enthaltene PHP-Objekte einzuschleusen, die kombiniert werden könnten, um beliebigen Code auszuführen und die Kontrolle über die Zielwebsite zu erlangen. Dadurch könnte der Angreifer beliebige Dateien löschen, sensible Daten abrufen oder Code ausführen.

In einer ähnlichen Meldung teilte Patchstack mit, dass am 17. November eine Exploit-Kette auf GitHub gefunden und dem Projekt PHP Common Utility Chains (PHPGGC) hinzugefügt wurde. Benutzer sollten ihre Websites manuell überprüfen, um sicherzustellen, dass sie auf die neueste Version aktualisiert wurden.

WordPress ist ein kostenloses, benutzerfreundliches und weltweit beliebtes Content-Management-System. Dank der einfachen Installation und des umfassenden Supports können Benutzer schnell alle Arten von Websites erstellen – von Online-Shops über Portale bis hin zu Diskussionsforen …

Laut Daten von W3Techs werden im Jahr 2023 45,8 % aller Websites im Internet auf WordPress basieren, gegenüber 43,2 % im Jahr 2022. Das bedeutet, dass mehr als zwei von fünf Websites auf WordPress basieren werden.