WordPress 6.4.2 menampal kelemahan keselamatan kritikal.

Menurut The Hacker News, WordPress telah mengeluarkan versi 6.4.2, yang menampal kelemahan keselamatan kritikal yang boleh dieksploitasi oleh penggodam bersama-sama dengan kelemahan lain untuk melaksanakan kod PHP sewenang-wenangnya di laman web yang masih terdedah kepada kelemahan ini.

Syarikat itu menyatakan bahawa kerentanan pelaksanaan kod jauh tidak boleh dieksploitasi secara langsung dalam teras; walau bagaimanapun, pasukan keselamatan merasakan ia berpotensi menyebabkan tahap keterukan yang tinggi apabila digabungkan dengan pemalam tertentu, terutamanya dalam pemasangan berbilang tapak.

Menurut firma keselamatan Wordfence, isu ini berpunca daripada kelas yang diperkenalkan dalam versi 6.4 untuk menambah baik penghuraian HTML dalam editor blok. Melalui ini, penggodam boleh mengeksploitasi kerentanan untuk menyuntik objek PHP yang terkandung dalam pemalam atau tema, menggabungkannya untuk melaksanakan kod sewenang-wenangnya dan mendapatkan kawalan ke atas laman web sasaran. Akibatnya, penyerang boleh memadam fail sewenang-wenangnya, mengakses data sensitif atau melaksanakan kod.

Dalam amaran yang sama, Patchstack menyatakan bahawa rantaian eksploit telah ditemui di GitHub pada 17 November dan telah ditambahkan ke projek Rantaian Utiliti Generik PHP (PHPGGC). Pengguna harus menyemak laman web mereka secara manual untuk memastikan ia dikemas kini kepada versi terkini.

WordPress ialah sistem pengurusan kandungan percuma, mudah digunakan dan popular di seluruh dunia. Disebabkan pemasangannya yang mudah dan sokongan yang meluas, pengguna boleh mencipta pelbagai jenis laman web dengan cepat, daripada kedai dan portal dalam talian hinggalah forum perbincangan.

Menurut data daripada W3Techs, WordPress menyumbang 45.8% daripada semua laman web di internet pada tahun 2023, meningkat daripada 43.2% pada tahun 2022. Ini bermakna lebih daripada 2 daripada setiap 5 laman web menggunakan platform WordPress.