Η έκδοση 6.4.2 του WordPress διορθώνει κρίσιμο κενό ασφαλείας.

Σύμφωνα με το The Hacker News, το WordPress κυκλοφόρησε την έκδοση 6.4.2, η οποία διορθώνει ένα κρίσιμο κενό ασφαλείας που θα μπορούσε να εκμεταλλευτεί από χάκερ σε συνδυασμό με ένα άλλο ελάττωμα για την εκτέλεση αυθαίρετου κώδικα PHP σε ιστότοπους που εξακολουθούν να είναι ευάλωτοι σε αυτό το ελάττωμα.

Η εταιρεία δήλωσε ότι η ευπάθεια απομακρυσμένης εκτέλεσης κώδικα δεν μπορεί να αξιοποιηθεί απευθείας στον πυρήνα. Ωστόσο, η ομάδα ασφαλείας θεώρησε ότι είχε τη δυνατότητα να προκαλέσει υψηλό βαθμό σοβαρότητας όταν συνδυάζεται με ορισμένα πρόσθετα, ιδιαίτερα σε εγκαταστάσεις πολλαπλών τοποθεσιών.

Σύμφωνα με την εταιρεία ασφαλείας Wordfence, το πρόβλημα προέρχεται από μια κλάση που εισήχθη στην έκδοση 6.4 για τη βελτίωση της ανάλυσης HTML στον επεξεργαστή μπλοκ. Μέσω αυτής, οι χάκερ μπορούν να εκμεταλλευτούν την ευπάθεια για να εισάγουν αντικείμενα PHP που περιέχονται σε πρόσθετα ή θέματα, συνδυάζοντάς τα για να εκτελέσουν αυθαίρετο κώδικα και να αποκτήσουν τον έλεγχο του ιστότοπου-στόχου. Ως αποτέλεσμα, οι εισβολείς μπορούν να διαγράψουν αυθαίρετα αρχεία, να αποκτήσουν πρόσβαση σε ευαίσθητα δεδομένα ή να εκτελέσουν κώδικα.

Σε μια παρόμοια προειδοποίηση, το Patchstack δήλωσε ότι μια αλυσίδα exploit εντοπίστηκε στο GitHub από τις 17 Νοεμβρίου και προστέθηκε στο έργο PHP Generic Utility Chains (PHPGGC). Οι χρήστες θα πρέπει να ελέγχουν χειροκίνητα τους ιστότοπούς τους για να βεβαιώνονται ότι είναι ενημερωμένοι στην πιο πρόσφατη έκδοση.

Το WordPress είναι ένα δωρεάν, εύχρηστο και παγκοσμίως δημοφιλές σύστημα διαχείρισης περιεχομένου. Χάρη στην εύκολη εγκατάσταση και την εκτεταμένη υποστήριξή του, οι χρήστες μπορούν να δημιουργήσουν γρήγορα διάφορους τύπους ιστοσελίδων, από ηλεκτρονικά καταστήματα και πύλες έως φόρουμ συζήτησης.

Σύμφωνα με στοιχεία της W3Techs, το WordPress αντιπροσώπευε το 45,8% όλων των ιστότοπων στο διαδίκτυο το 2023, από 43,2% το 2022. Αυτό σημαίνει ότι περισσότεροι από 2 στους 5 ιστότοπους χρησιμοποιούν την πλατφόρμα WordPress.