WordPress 6.4.2 corrige une grave faille de sécurité

Selon The Hacker News, WordPress a publié la version 6.4.2, qui corrige une faille de sécurité critique pouvant être exploitée par des pirates informatiques en combinaison avec une autre faille pour exécuter du code PHP arbitraire sur les sites web encore vulnérables à cette faille.

L'entreprise a déclaré que la vulnérabilité d'exécution de code à distance ne pouvait pas être exploitée directement dans le noyau ; cependant, l'équipe de sécurité estimait qu'elle pouvait potentiellement causer un degré de gravité élevé lorsqu'elle était combinée à certains plugins, notamment dans les installations multisites.

D'après la société de sécurité Wordfence, le problème provient d'une classe introduite dans la version 6.4 pour améliorer l'analyse HTML dans l'éditeur de blocs. Grâce à cette classe, des pirates peuvent exploiter une vulnérabilité pour injecter des objets PHP contenus dans des plugins ou des thèmes, les combiner afin d'exécuter du code arbitraire et prendre le contrôle du site web cible. Ils peuvent ainsi supprimer des fichiers, accéder à des données sensibles ou exécuter du code.

Dans un avertissement similaire, Patchstack a indiqué qu'une chaîne d'exploitation avait été découverte sur GitHub le 17 novembre et ajoutée au projet PHP Generic Utility Chains (PHPGGC). Les utilisateurs sont invités à vérifier manuellement leurs sites web afin de s'assurer qu'ils sont à jour.

WordPress est un système de gestion de contenu gratuit, facile à utiliser et mondialement populaire. Grâce à son installation simple et à son assistance étendue, les utilisateurs peuvent créer rapidement différents types de sites web, des boutiques en ligne et portails aux forums de discussion.

D'après les données de W3Techs, WordPress représentait 45,8 % de tous les sites web sur Internet en 2023, contre 43,2 % en 2022. Cela signifie que plus de 2 sites web sur 5 utilisent la plateforme WordPress.