В WordPress 6.4.2 исправлена ​​критическая уязвимость безопасности.

По данным The Hacker News, WordPress выпустил версию 6.4.2, в которой исправлена ​​серьезная уязвимость безопасности, которую хакеры могли использовать в сочетании с другой ошибкой для выполнения произвольного PHP-кода на веб-сайтах, где эта уязвимость все еще присутствует.

Компания заявила, что уязвимость удаленного выполнения кода не может быть использована напрямую в ядре системы, но группа специалистов по безопасности считает, что в сочетании с определенными плагинами, особенно в многосайтовых установках, она может привести к серьезным последствиям.

По данным компании Wordfence, занимающейся вопросами безопасности, проблема связана с классом, введенным в версии 6.4 для улучшения анализа HTML-кода в блочном редакторе. С помощью этого класса злоумышленник может использовать уязвимость для внедрения PHP-объектов, содержащихся в плагинах или темах, с целью выполнения произвольного кода и получения контроля над целевым веб-сайтом. В результате злоумышленник может удалять произвольные файлы, получать доступ к конфиденциальным данным или выполнять код.

В аналогичном сообщении Patchstack говорится, что цепочка эксплойтов была обнаружена на GitHub 17 ноября и добавлена ​​в проект PHP Common Utility Chains (PHPGGC). Пользователям следует вручную проверить свои веб-сайты, чтобы убедиться, что они обновились до последней версии.

WordPress — это бесплатная, простая в использовании и популярная во всем мире система управления контентом. Благодаря простой установке и обширной поддержке пользователи могут быстро создавать самые разные веб-сайты: от интернет-магазинов и порталов до форумов и т.д.

Согласно данным W3Techs, в 2023 году WordPress будет использоваться на 45,8% всех веб-сайтов в интернете, по сравнению с 43,2% в 2022 году. Это означает, что более 2 из 5 веб-сайтов будут работать на WordPress.