A WordPress 6.4.2-es verziója súlyos biztonsági rést javít

A The Hacker News szerint a WordPress kiadta a 6.4.2-es verziót, amely egy súlyos biztonsági rést javít, amelyet a hackerek egy másik hibával kombinálva kihasználhatnak tetszőleges PHP kód futtatására a sebezhető webhelyeken.

A távoli kódfuttatást lehetővé tevő sebezhetőség nem kihasználható közvetlenül a magban, de a biztonsági csapat úgy véli, hogy bizonyos bővítményekkel kombinálva, különösen több telephelyes telepítések esetén, magas súlyosságú kockázatot okozhat – közölte a vállalat.

A Wordfence biztonsági cég szerint a probléma egy, a 6.4-es verzióban bevezetett osztályból ered, amelynek célja a HTML-elemzés javítása a blokkszerkesztőben. Ennek segítségével a támadó kihasználhatja a sebezhetőséget, hogy bővítményekben vagy témákban található PHP-objektumokat injektáljon tetszőleges kód végrehajtásához, és átvegye az irányítást a célzott webhely felett. Ennek eredményeként a támadó tetszőleges fájlokat törölhet, érzékeny adatokat kérhet le, vagy kódot futtathat.

Egy hasonló figyelmeztetésben a Patchstack azt írta, hogy november 17-én egy sebezhetőségi láncot találtak a GitHubon, és hozzáadták a PHP Common Utility Chains (PHPGGC) projekthez. A felhasználóknak manuálisan ellenőrizniük kell weboldalaikat, hogy megbizonyosodjanak arról, hogy a legújabb verzióra frissítettek.

A WordPress egy ingyenes, könnyen használható és világszerte népszerű tartalomkezelő rendszer. Az egyszerű telepítésnek és a széleskörű támogatásnak köszönhetően a felhasználók gyorsan létrehozhatnak mindenféle weboldalt online áruházakból, portálokból, fórumokból...

A W3Techs adatai szerint 2023-ban az internetes weboldalak 45,8%-át WordPress fogja működtetni, szemben a 2022-es 43,2%-kal. Ez azt jelenti, hogy az öt weboldal közül több mint 2 WordPress-szel fog működni.