WordPress 6.4.2 oppdaterer alvorlig sikkerhetssårbarhet

Ifølge The Hacker News har WordPress gitt ut versjon 6.4.2, som oppdaterer et alvorlig sikkerhetsproblem som kan utnyttes av hackere i kombinasjon med en annen feil for å kjøre vilkårlig PHP-kode på nettsteder som fortsatt har sårbarheten.

Sårbarheten for ekstern kodekjøring kan ikke utnyttes direkte i kjernen, men sikkerhetsteamet mener at den har potensial til å forårsake høy alvorlighetsgrad når den kombineres med visse plugins, spesielt i installasjoner på flere nettsteder, sa selskapet.

Ifølge sikkerhetsfirmaet Wordfence stammer problemet fra en klasse som ble introdusert i versjon 6.4 for å forbedre HTML-parsing i blokkeditoren. Gjennom dette kan en angriper utnytte sårbarheten til å injisere PHP-objekter som finnes i plugins eller temaer for å kjøre vilkårlig kode og få kontroll over målnettstedet. Som et resultat kan angriperen slette vilkårlige filer, hente sensitive data eller kjøre kode.

I en lignende melding sa Patchstack at en angrepskjede ble funnet på GitHub per 17. november og lagt til i PHP Common Utility Chains (PHPGGC)-prosjektet. Brukere bør manuelt sjekke nettstedene sine for å sikre at de har oppdatert til den nyeste versjonen.

WordPress er et gratis, brukervennlig og globalt populært innholdsstyringssystem. Med enkel installasjon og omfattende støtte kan brukere raskt lage alle slags nettsteder fra nettbutikker, portaler, diskusjonsforum...

Ifølge data fra W3Techs vil WordPress drive 45,8 % av alle nettsteder på internett i 2023, opp fra 43,2 % i 2022. Det betyr at mer enn 2 av 5 nettsteder vil være drevet av WordPress.