Οι ενημερώσεις κώδικα 6.4.2 του WordPress διορθώνουν σοβαρό θέμα ευπάθειας ασφαλείας

Σύμφωνα με το The Hacker News, το WordPress κυκλοφόρησε την έκδοση 6.4.2, η οποία διορθώνει ένα σοβαρό κενό ασφαλείας που θα μπορούσε να εκμεταλλευτεί από χάκερ σε συνδυασμό με ένα άλλο σφάλμα για την εκτέλεση αυθαίρετου κώδικα PHP σε ιστότοπους που εξακολουθούν να έχουν το κενό ασφαλείας.

Η ευπάθεια απομακρυσμένης εκτέλεσης κώδικα δεν είναι εκμεταλλεύσιμη απευθείας στον πυρήνα, αλλά η ομάδα ασφαλείας πιστεύει ότι έχει τη δυνατότητα να προκαλέσει ευπάθεια υψηλής σοβαρότητας όταν συνδυάζεται με ορισμένα πρόσθετα, ειδικά σε εγκαταστάσεις πολλαπλών τοποθεσιών, ανέφερε η εταιρεία.

Σύμφωνα με την εταιρεία ασφαλείας Wordfence, το πρόβλημα προέρχεται από μια κλάση που εισήχθη στην έκδοση 6.4 για τη βελτίωση της ανάλυσης HTML στον επεξεργαστή μπλοκ. Μέσω αυτής, ένας εισβολέας θα μπορούσε να εκμεταλλευτεί την ευπάθεια για να εισάγει αντικείμενα PHP που περιέχονται σε πρόσθετα ή θέματα που θα μπορούσαν να συνδυαστούν για να εκτελέσουν αυθαίρετο κώδικα και να αποκτήσουν τον έλεγχο του στοχευμένου ιστότοπου. Ως αποτέλεσμα, ο εισβολέας θα μπορούσε να διαγράψει αυθαίρετα αρχεία, να ανακτήσει ευαίσθητα δεδομένα ή να εκτελέσει κώδικα.

Σε μια παρόμοια συμβουλευτική ανακοίνωση, το Patchstack ανέφερε ότι μια αλυσίδα exploit εντοπίστηκε στο GitHub από τις 17 Νοεμβρίου και προστέθηκε στο έργο PHP Common Utility Chains (PHPGGC). Οι χρήστες θα πρέπει να ελέγχουν χειροκίνητα τους ιστότοπούς τους για να βεβαιώνονται ότι έχουν ενημερωθεί στην πιο πρόσφατη έκδοση.

Το WordPress είναι ένα δωρεάν, εύχρηστο και παγκοσμίως δημοφιλές σύστημα διαχείρισης περιεχομένου. Με εύκολη εγκατάσταση και εκτεταμένη υποστήριξη, οι χρήστες μπορούν να δημιουργήσουν γρήγορα κάθε είδους ιστότοπους από ηλεκτρονικά καταστήματα, πύλες, φόρουμ συζήτησης...

Σύμφωνα με στοιχεία της W3Techs, το WordPress θα τροφοδοτεί το 45,8% όλων των ιστοσελίδων στο διαδίκτυο το 2023, από 43,2% το 2022. Αυτό σημαίνει ότι περισσότεροι από 2 στους 5 ιστότοπους θα υποστηρίζονται από το WordPress.