WordPress 6.4.2 Memperbaiki Kerentanan Keamanan Serius

Menurut The Hacker News, WordPress telah merilis versi 6.4.2, yang menambal kerentanan keamanan serius yang dapat dieksploitasi oleh peretas yang dikombinasikan dengan bug lain untuk mengeksekusi kode PHP sembarangan pada situs web yang masih memiliki kerentanan.

Kerentanan eksekusi kode jarak jauh tidak dapat dieksploitasi secara langsung di inti, tetapi tim keamanan merasa hal itu berpotensi menyebabkan kerentanan tingkat keparahan yang tinggi bila dikombinasikan dengan plugin tertentu, terutama dalam instalasi multisitus, kata perusahaan itu.

Menurut perusahaan keamanan Wordfence, masalah ini bermula dari sebuah kelas yang diperkenalkan pada versi 6.4 untuk meningkatkan penguraian HTML di editor blok. Melalui kelas ini, penyerang dapat mengeksploitasi kerentanan untuk menyuntikkan objek PHP yang terdapat dalam plugin atau tema yang dapat digabungkan untuk mengeksekusi kode arbitrer dan menguasai situs web target. Akibatnya, penyerang dapat menghapus berkas arbitrer, mengambil data sensitif, atau mengeksekusi kode.

Dalam pemberitahuan serupa, Patchstack menyatakan bahwa rantai eksploitasi ditemukan di GitHub per 17 November dan ditambahkan ke proyek PHP Common Utility Chains (PHPGGC). Pengguna disarankan untuk memeriksa situs web mereka secara manual untuk memastikan mereka telah memperbarui ke versi terbaru.

WordPress adalah sistem manajemen konten yang gratis, mudah digunakan, dan populer secara global. Dengan instalasi yang mudah dan dukungan yang luas, pengguna dapat dengan cepat membuat berbagai macam situs web, mulai dari toko online, portal, forum diskusi, dan sebagainya.

Menurut data W3Techs, WordPress akan mendominasi 45,8% dari seluruh situs web di internet pada tahun 2023, naik dari 43,2% pada tahun 2022. Artinya, lebih dari 2 dari setiap 5 situs web akan didukung oleh WordPress.