WordPress 6.4.2 corrige grave vulnerabilidade de segurança

De acordo com o The Hacker News, o WordPress lançou a versão 6.4.2, que corrige uma vulnerabilidade de segurança grave que pode ser explorada por hackers em combinação com outro bug para executar código PHP arbitrário em sites que ainda têm a vulnerabilidade.

A vulnerabilidade de execução remota de código não pode ser explorada diretamente no núcleo, mas a equipe de segurança acredita que ela tem o potencial de causar uma vulnerabilidade de alta gravidade quando combinada com certos plugins, especialmente em instalações multisite, disse a empresa.

De acordo com a empresa de segurança Wordfence, o problema decorre de uma classe introduzida na versão 6.4 para melhorar a análise sintática de HTML no editor de blocos. Com isso, um invasor poderia explorar a vulnerabilidade para injetar objetos PHP contidos em plugins ou temas que poderiam ser combinados para executar código arbitrário e obter controle do site alvo. Como resultado, o invasor poderia excluir arquivos arbitrários, recuperar dados confidenciais ou executar código.

Em um comunicado semelhante, o Patchstack afirmou que uma cadeia de exploração foi encontrada no GitHub em 17 de novembro e adicionada ao projeto PHP Common Utility Chains (PHPGGC). Os usuários devem verificar manualmente seus sites para garantir que estejam atualizados para a versão mais recente.

O WordPress é um sistema de gerenciamento de conteúdo gratuito, fácil de usar e mundialmente popular. Com instalação simples e amplo suporte, os usuários podem criar rapidamente todos os tipos de sites, desde lojas online, portais, fóruns de discussão...

De acordo com dados da W3Techs, o WordPress será o sistema operacional de 45,8% de todos os sites na internet em 2023, ante 43,2% em 2022. Isso significa que mais de 2 em cada 5 sites serão baseados no WordPress.