Wersja WordPress 6.4.2 łata krytyczną lukę w zabezpieczeniach.

Według serwisu The Hacker News, WordPress wydał wersję 6.4.2, która naprawia krytyczną lukę w zabezpieczeniach, która w połączeniu z inną wadą może zostać wykorzystana przez hakerów do wykonania dowolnego kodu PHP na stronach internetowych, które nadal są podatne na tę lukę.

Firma oświadczyła, że ​​podatności umożliwiającej zdalne wykonanie kodu nie można wykorzystać bezpośrednio w rdzeniu; jednak zespół ds. bezpieczeństwa uznał, że w połączeniu z pewnymi wtyczkami może ona potencjalnie spowodować poważny problem, szczególnie w instalacjach obejmujących wiele lokalizacji.

Według firmy Wordfence, zajmującej się bezpieczeństwem, problem wynika z klasy wprowadzonej w wersji 6.4 w celu usprawnienia parsowania kodu HTML w edytorze bloków. Dzięki temu hakerzy mogą wykorzystać lukę, aby wstrzyknąć obiekty PHP zawarte we wtyczkach lub motywach, łącząc je w celu wykonania dowolnego kodu i przejęcia kontroli nad docelową witryną. W rezultacie atakujący mogą usunąć dowolne pliki, uzyskać dostęp do poufnych danych lub wykonać kod.

W podobnym ostrzeżeniu Patchstack poinformował, że 17 listopada na GitHubie znaleziono łańcuch exploitów, który został dodany do projektu PHP Generic Utility Chains (PHPGGC). Użytkownicy powinni ręcznie sprawdzić swoje strony internetowe, aby upewnić się, że są zaktualizowane do najnowszej wersji.

WordPress to darmowy, łatwy w obsłudze i popularny na całym świecie system zarządzania treścią. Dzięki łatwej instalacji i rozbudowanemu wsparciu technicznemu użytkownicy mogą szybko tworzyć różnego rodzaju strony internetowe, od sklepów internetowych i portali po fora dyskusyjne.

Według danych W3Techs, w 2023 roku WordPress odpowiadał za 45,8% wszystkich stron internetowych w Internecie, w porównaniu z 43,2% w 2022 roku. Oznacza to, że ponad 2 na 5 stron internetowych korzysta z platformy WordPress.