WordPress 6.4.2 behebt schwerwiegende Sicherheitslücke

Laut The Hacker News hat WordPress die Version 6.4.2 veröffentlicht, die eine schwerwiegende Sicherheitslücke schließt, die von Hackern in Kombination mit einem anderen Fehler ausgenutzt werden könnte, um beliebigen PHP-Code auf Websites auszuführen, die noch immer von dieser Sicherheitslücke betroffen sind.

Die Sicherheitslücke, die eine Remotecodeausführung ermöglicht, kann nicht direkt im Kern ausgenutzt werden, das Sicherheitsteam ist jedoch der Ansicht, dass sie in Kombination mit bestimmten Plug-Ins, insbesondere bei Installationen an mehreren Standorten, möglicherweise schwerwiegende Folgen haben kann, so das Unternehmen.

Laut dem Sicherheitsunternehmen Wordfence liegt das Problem an einer in Version 6.4 eingeführten Klasse zur Verbesserung der HTML-Analyse im Blockeditor. Dadurch kann ein Angreifer die Schwachstelle ausnutzen, um in Plugins oder Themes enthaltene PHP-Objekte einzuschleusen, beliebigen Code auszuführen und die Kontrolle über die Zielwebsite zu erlangen. Dadurch kann der Angreifer beliebige Dateien löschen, sensible Daten abrufen oder Code ausführen.

In einer ähnlichen Meldung teilte Patchstack mit, dass am 17. November eine Exploit-Kette auf GitHub gefunden und dem Projekt PHP Common Utility Chains (PHPGGC) hinzugefügt wurde. Benutzer sollten ihre Websites manuell überprüfen, um sicherzustellen, dass sie auf die neueste Version aktualisiert wurden.

WordPress ist ein kostenloses, benutzerfreundliches und weltweit beliebtes Content-Management-System. Dank der einfachen Installation und des umfassenden Supports können Benutzer schnell alle Arten von Websites erstellen – von Online-Shops über Portale bis hin zu Diskussionsforen …

Laut Daten von W3Techs werden im Jahr 2023 45,8 % aller Websites im Internet auf WordPress basieren, gegenüber 43,2 % im Jahr 2022. Das bedeutet, dass mehr als 2 von 5 Websites auf WordPress basieren werden.