WordPress 6.4.2 corrige grave vulnerabilidade de segurança

Segundo o The Hacker News, o WordPress lançou a versão 6.4.2, que corrige uma grave vulnerabilidade de segurança que poderia ser explorada por hackers em combinação com outro bug para executar código PHP arbitrário em sites que ainda apresentam a vulnerabilidade.

A vulnerabilidade de execução remota de código não é explorável diretamente no núcleo do sistema, mas a equipe de segurança acredita que ela tem potencial para causar danos graves quando combinada com determinados plugins, especialmente em instalações com múltiplos sites, afirmou a empresa.

De acordo com a empresa de segurança Wordfence, o problema surge de uma classe introduzida na versão 6.4 para melhorar a análise de HTML no editor de blocos. Através dessa classe, um atacante pode explorar a vulnerabilidade para injetar objetos PHP contidos em plugins ou temas, executando código arbitrário e obtendo controle do site alvo. Como resultado, o atacante pode excluir arquivos, obter dados confidenciais ou executar código malicioso.

Em um comunicado semelhante, a Patchstack informou que uma cadeia de exploração foi encontrada no GitHub em 17 de novembro e adicionada ao projeto PHP Common Utility Chains (PHPGGC). Os usuários devem verificar manualmente seus sites para garantir que estejam atualizados para a versão mais recente.

O WordPress é um sistema de gerenciamento de conteúdo gratuito, fácil de usar e popular em todo o mundo. Com instalação simples e amplo suporte, os usuários podem criar rapidamente todos os tipos de sites, desde lojas online e portais até fóruns de discussão...

Segundo dados da W3Techs, o WordPress será a plataforma de 45,8% de todos os sites da internet em 2023, um aumento em relação aos 43,2% de 2022. Isso significa que mais de 2 em cada 5 sites serão hospedados em WordPress.