A WordPress 6.4.2-es verziója kritikus biztonsági rést javít.

A The Hacker News szerint a WordPress kiadta a 6.4.2-es verziót, amely egy kritikus biztonsági rést javít, amelyet a hackerek egy másik hibával kombinálva kihasználhatnak tetszőleges PHP kód futtatására a továbbra is sebezhető webhelyeken.

A cég kijelentette, hogy a távoli kódfuttatást lehetővé tevő sebezhetőség nem használható ki közvetlenül a rendszermagban; a biztonsági csapat azonban úgy vélte, hogy bizonyos bővítményekkel kombinálva, különösen több telephelyes telepítések esetén, magas fokú kockázatot okozhat.

A Wordfence biztonsági cég szerint a probléma egy, a 6.4-es verzióban bevezetett osztályból ered, amelynek célja a HTML-elemzés javítása a blokkszerkesztőben. Ennek segítségével a hackerek kihasználhatják a sebezhetőséget, hogy bővítményekben vagy témákban található PHP-objektumokat injektáljanak, azokat kombinálva tetszőleges kódot hajtsanak végre, és átvegyék az irányítást a célzott webhely felett. Ennek eredményeként a támadók tetszőleges fájlokat törölhetnek, érzékeny adatokhoz férhetnek hozzá, vagy kódot futtathatnak.

Egy hasonló figyelmeztetésben a Patchstack kijelentette, hogy november 17-én egy sebezhetőségi láncot találtak a GitHubon, és hozzáadták a PHP Generic Utility Chains (PHPGGC) projekthez. A felhasználóknak manuálisan ellenőrizniük kell weboldalaikat, hogy megbizonyosodjanak arról, hogy a legújabb verzióra vannak-e frissítve.

A WordPress egy ingyenes, könnyen használható és világszerte népszerű tartalomkezelő rendszer. Könnyű telepítésének és széleskörű támogatásának köszönhetően a felhasználók gyorsan létrehozhatnak különféle típusú weboldalakat, az online áruházaktól és portáloktól kezdve a vitafórumokig.

A W3Techs adatai szerint a WordPress az internetes weboldalak 45,8%-át tette ki 2023-ban, szemben a 2022-es 43,2%-kal. Ez azt jelenti, hogy minden ötödik weboldal WordPress platformot használ.