Οι ενημερώσεις κώδικα 6.4.2 του WordPress διορθώνουν σοβαρό θέμα ευπάθειας ασφαλείας

Σύμφωνα με το The Hacker News, το WordPress κυκλοφόρησε την έκδοση 6.4.2, η οποία διορθώνει ένα σοβαρό κενό ασφαλείας που θα μπορούσε να εκμεταλλευτεί από χάκερ σε συνδυασμό με ένα άλλο σφάλμα για την εκτέλεση αυθαίρετου κώδικα PHP σε ιστότοπους που εξακολουθούν να έχουν το κενό ασφαλείας.

Η ευπάθεια απομακρυσμένης εκτέλεσης κώδικα δεν είναι εκμεταλλεύσιμη απευθείας στον πυρήνα, αλλά η ομάδα ασφαλείας πιστεύει ότι έχει τη δυνατότητα να προκαλέσει υψηλή σοβαρότητα όταν συνδυάζεται με ορισμένα πρόσθετα, ειδικά σε εγκαταστάσεις πολλαπλών τοποθεσιών, ανέφερε η εταιρεία.

Σύμφωνα με την εταιρεία ασφαλείας Wordfence, το πρόβλημα προέρχεται από μια κλάση που εισήχθη στην έκδοση 6.4 για τη βελτίωση της ανάλυσης HTML στον επεξεργαστή μπλοκ. Μέσω αυτής, ένας εισβολέας μπορεί να εκμεταλλευτεί την ευπάθεια για να εισάγει αντικείμενα PHP που περιέχονται σε πρόσθετα ή θέματα για να εκτελέσει αυθαίρετο κώδικα και να αποκτήσει τον έλεγχο του ιστότοπου-στόχου. Ως αποτέλεσμα, ο εισβολέας μπορεί να διαγράψει αυθαίρετα αρχεία, να ανακτήσει ευαίσθητα δεδομένα ή να εκτελέσει κώδικα.

Σε μια παρόμοια συμβουλευτική ανακοίνωση, το Patchstack ανέφερε ότι μια αλυσίδα exploit εντοπίστηκε στο GitHub από τις 17 Νοεμβρίου και προστέθηκε στο έργο PHP Common Utility Chains (PHPGGC). Οι χρήστες θα πρέπει να ελέγχουν χειροκίνητα τους ιστότοπούς τους για να βεβαιώνονται ότι έχουν ενημερωθεί στην πιο πρόσφατη έκδοση.

Το WordPress είναι ένα δωρεάν, εύχρηστο και παγκοσμίως δημοφιλές σύστημα διαχείρισης περιεχομένου. Με εύκολη εγκατάσταση και εκτεταμένη υποστήριξη, οι χρήστες μπορούν να δημιουργήσουν γρήγορα κάθε είδους ιστότοπους από ηλεκτρονικά καταστήματα, πύλες, φόρουμ συζήτησης...

Σύμφωνα με στοιχεία από την W3Techs, το WordPress θα τροφοδοτεί το 45,8% όλων των ιστοσελίδων στο διαδίκτυο το 2023, από 43,2% το 2022. Αυτό σημαίνει ότι περισσότεροι από 2 στους 5 ιστότοπους θα υποστηρίζονται από το WordPress.