WordPress 6.4.2 corrige une grave vulnérabilité de sécurité

Selon The Hacker News, WordPress a publié la version 6.4.2, qui corrige une grave vulnérabilité de sécurité qui pourrait être exploitée par des pirates en combinaison avec un autre bug pour exécuter du code PHP arbitraire sur des sites Web qui présentent toujours la vulnérabilité.

La vulnérabilité d'exécution de code à distance n'est pas exploitable directement dans le noyau, mais l'équipe de sécurité estime qu'elle a le potentiel de provoquer une vulnérabilité de gravité élevée lorsqu'elle est combinée avec certains plugins, en particulier dans les installations multisites, a déclaré la société.

Selon l'entreprise de sécurité Wordfence, le problème provient d'une classe introduite dans la version 6.4 pour améliorer l'analyse HTML dans l'éditeur de blocs. Grâce à cette classe, un attaquant pourrait exploiter la vulnérabilité pour injecter des objets PHP contenus dans des plugins ou des thèmes, lesquels pourraient être combinés pour exécuter du code arbitraire et prendre le contrôle du site web ciblé. L'attaquant pourrait ainsi supprimer des fichiers arbitraires, récupérer des données sensibles ou exécuter du code.

Dans un avis similaire, Patchstack a indiqué qu'une chaîne d'exploitation avait été découverte sur GitHub le 17 novembre et ajoutée au projet PHP Common Utility Chains (PHPGGC). Les utilisateurs doivent vérifier manuellement leurs sites web pour s'assurer qu'ils disposent de la dernière version.

WordPress est un système de gestion de contenu gratuit, facile à utiliser et mondialement populaire. Grâce à son installation facile et à son support complet, les utilisateurs peuvent créer rapidement tous types de sites web : boutiques en ligne, portails, forums de discussion, etc.

Selon les données de W3Techs, WordPress alimentera 45,8 % de tous les sites Web sur Internet en 2023, contre 43,2 % en 2022. Cela signifie que plus de 2 sites Web sur 5 seront alimentés par WordPress.