WordPress 6.4.2 łata poważną lukę w zabezpieczeniach

Według serwisu The Hacker News, WordPress wydał wersję 6.4.2, która naprawia poważną lukę w zabezpieczeniach, która w połączeniu z innym błędem może zostać wykorzystana przez hakerów w celu wykonania dowolnego kodu PHP na stronach internetowych, które nadal zawierają lukę.

Firma poinformowała, że ​​luka umożliwiająca zdalne wykonanie kodu nie jest możliwa do wykorzystania bezpośrednio w rdzeniu, jednak zespół ds. bezpieczeństwa uważa, że ​​w połączeniu z pewnymi wtyczkami może ona potencjalnie spowodować lukę o wysokim stopniu zagrożenia, zwłaszcza w instalacjach obejmujących wiele lokalizacji.

Według firmy Wordfence, zajmującej się bezpieczeństwem, problem wynika z klasy wprowadzonej w wersji 6.4 w celu usprawnienia parsowania kodu HTML w edytorze bloków. Dzięki temu atakujący może wykorzystać lukę w zabezpieczeniach, aby wstrzyknąć obiekty PHP zawarte we wtyczkach lub motywach, które można połączyć w celu wykonania dowolnego kodu i przejęcia kontroli nad docelową witryną. W rezultacie atakujący może usunąć dowolne pliki, odzyskać poufne dane lub wykonać kod.

W podobnym komunikacie Patchstack poinformował, że 17 listopada na GitHubie znaleziono łańcuch exploitów, który został dodany do projektu PHP Common Utility Chains (PHPGGC). Użytkownicy powinni ręcznie sprawdzić swoje strony internetowe, aby upewnić się, że są zaktualizowane do najnowszej wersji.

WordPress to darmowy, łatwy w obsłudze i popularny na całym świecie system zarządzania treścią. Dzięki łatwej instalacji i rozbudowanemu wsparciu technicznemu użytkownicy mogą szybko tworzyć wszelkiego rodzaju strony internetowe – od sklepów internetowych, przez portale, po fora dyskusyjne…

Według danych W3Techs, w 2023 roku WordPress będzie obsługiwał 45,8% wszystkich stron internetowych w Internecie, w porównaniu z 43,2% w 2022 roku. Oznacza to, że ponad 2 na 5 stron internetowych będzie opartych na WordPressie.