תיקוני וורדפרס 6.4.2 מטפלים בפגיעות אבטחה חמורה

לפי The Hacker News, וורדפרס הוציאה את גרסה 6.4.2, אשר מתקנת פגיעות אבטחה חמורה שעלולה להיות מנוצלת על ידי האקרים בשילוב עם באג אחר כדי לבצע קוד PHP שרירותי באתרים שעדיין סובלים מהפגיעות.

פגיעות ביצוע הקוד מרחוק אינה ניתנת לניצול ישירות בליבת המערכת, אך צוות האבטחה סבור כי יש לה פוטנציאל לגרום לחומרה גבוהה בשילוב עם תוספים מסוימים, במיוחד בהתקנות מרובות אתרים, מסרה החברה.

לפי חברת האבטחה Wordfence, הבעיה נובעת ממחלקה שהוצגה בגרסה 6.4 כדי לשפר את ניתוח ה-HTML בעורך הבלוקים. באמצעותה, תוקף יכול לנצל את הפגיעות כדי להזריק אובייקטי PHP הכלולים בתוספים או ערכות נושא כדי להריץ קוד שרירותי ולהשתלט על אתר היעד. כתוצאה מכך, התוקף יכול למחוק קבצים שרירותיים, לאחזר נתונים רגישים או להריץ קוד.

בהודעה דומה, Patchstack דיווחה כי שרשרת פרצות נמצאה ב-GitHub נכון ל-17 בנובמבר ונוספה לפרויקט PHP Common Utility Chains (PHPGGC). על המשתמשים לבדוק ידנית את אתרי האינטרנט שלהם כדי לוודא שהם עדכנו לגרסה העדכנית ביותר.

וורדפרס היא מערכת ניהול תוכן חינמית, קלה לשימוש ופופולרית ברחבי העולם. עם התקנה קלה ותמיכה נרחבת, משתמשים יכולים ליצור במהירות כל מיני אתרים מחנויות מקוונות, פורטלים, פורומים לדיון...

לפי נתונים של W3Techs, וורדפרס תפעיל 45.8% מכלל אתרי האינטרנט באינטרנט בשנת 2023, לעומת 43.2% בשנת 2022. משמעות הדבר היא שיותר מ-2 מתוך 5 אתרים יופעלו על ידי וורדפרס.