WordPress 6.4.2 lost ernstige beveiligingskwetsbaarheid op

Volgens The Hacker News heeft WordPress versie 6.4.2 uitgebracht, die een ernstig beveiligingslek dicht dat door hackers kan worden misbruikt. In combinatie met een andere bug kunnen hackers willekeurige PHP-code uitvoeren op websites die nog steeds het beveiligingslek hebben.

Het beveiligingslek met betrekking tot het uitvoeren van code op afstand kan niet rechtstreeks in de kern worden misbruikt, maar het beveiligingsteam is van mening dat het zeer ernstig kan zijn in combinatie met bepaalde plug-ins, met name bij installaties op meerdere sites, aldus het bedrijf.

Volgens beveiligingsbedrijf Wordfence wordt het probleem veroorzaakt door een klasse die in versie 6.4 is geïntroduceerd om HTML-parsing in de blokeditor te verbeteren. Hiermee kan een aanvaller de kwetsbaarheid misbruiken om PHP-objecten in plugins of thema's te injecteren om willekeurige code uit te voeren en zo de controle over de doelwebsite te verkrijgen. Hierdoor kan de aanvaller willekeurige bestanden verwijderen, gevoelige gegevens ophalen of code uitvoeren.

In een soortgelijk advies meldde Patchstack dat er op 17 november een exploit chain op GitHub was gevonden en toegevoegd aan het PHP Common Utility Chains (PHPGGC)-project. Gebruikers moeten hun websites handmatig controleren om er zeker van te zijn dat ze de nieuwste versie hebben geïnstalleerd.

WordPress is een gratis, gebruiksvriendelijk en wereldwijd populair contentmanagementsysteem. Dankzij de eenvoudige installatie en uitgebreide ondersteuning kunnen gebruikers snel allerlei websites maken, van webwinkels en portals tot discussieforums.

Volgens gegevens van W3Techs zal WordPress in 2023 de basis vormen voor 45,8% van alle websites op internet, tegenover 43,2% in 2022. Dat betekent dat meer dan 2 op de 5 websites op WordPress draaien.