WordPress 6.4.2 menambal kerentanan keamanan kritis.

Menurut The Hacker News, WordPress telah merilis versi 6.4.2, yang menambal kerentanan keamanan kritis yang dapat dieksploitasi oleh peretas dalam kombinasi dengan celah keamanan lain untuk mengeksekusi kode PHP sembarangan pada situs web yang masih rentan terhadap celah keamanan ini.

Perusahaan menyatakan bahwa kerentanan eksekusi kode jarak jauh tidak dapat dieksploitasi secara langsung di inti sistem; namun, tim keamanan merasa bahwa hal itu berpotensi menyebabkan tingkat keparahan yang tinggi jika dikombinasikan dengan plugin tertentu, terutama pada instalasi multisitus.

Menurut perusahaan keamanan Wordfence, masalah ini berasal dari sebuah kelas yang diperkenalkan pada versi 6.4 untuk meningkatkan penguraian HTML di editor blok. Melalui ini, peretas dapat mengeksploitasi kerentanan untuk menyuntikkan objek PHP yang terdapat dalam plugin atau tema, menggabungkannya untuk mengeksekusi kode sembarang dan mendapatkan kendali atas situs web target. Akibatnya, penyerang dapat menghapus file sembarang, mengakses data sensitif, atau mengeksekusi kode.

Dalam peringatan serupa, Patchstack menyatakan bahwa rantai eksploitasi ditemukan di GitHub pada tanggal 17 November dan ditambahkan ke proyek PHP Generic Utility Chains (PHPGGC). Pengguna harus memeriksa situs web mereka secara manual untuk memastikan bahwa situs web tersebut telah diperbarui ke versi terbaru.

WordPress adalah sistem manajemen konten yang gratis, mudah digunakan, dan populer di seluruh dunia. Berkat instalasinya yang mudah dan dukungan yang luas, pengguna dapat dengan cepat membuat berbagai jenis situs web, mulai dari toko online dan portal hingga forum diskusi.

Menurut data dari W3Techs, WordPress mencakup 45,8% dari semua situs web di internet pada tahun 2023, naik dari 43,2% pada tahun 2022. Ini berarti bahwa lebih dari 2 dari setiap 5 situs web menggunakan platform WordPress.