WordPress 6.4.2 исправляет серьезную уязвимость безопасности

По данным The Hacker News, WordPress выпустил версию 6.4.2, в которой исправлена серьезная уязвимость безопасности, которую могут использовать хакеры в сочетании с другой ошибкой для выполнения произвольного PHP-кода на веб-сайтах, на которых эта уязвимость все еще присутствует.

Компания заявила, что уязвимость удаленного выполнения кода не может быть эксплуатирована напрямую в ядре, однако команда по безопасности считает, что она может стать причиной серьезной уязвимости в сочетании с определенными плагинами, особенно при многосайтовых установках.

По данным компании Wordfence, занимающейся безопасностью, проблема связана с классом, представленным в версии 6.4 для улучшения анализа HTML в редакторе блоков. Злоумышленник может воспользоваться уязвимостью для внедрения PHP-объектов, содержащихся в плагинах или темах, которые можно объединить для выполнения произвольного кода и получения контроля над целевым веб-сайтом. В результате злоумышленник может удалить произвольные файлы, получить конфиденциальные данные или выполнить код.

В аналогичном сообщении Patchstack говорится, что цепочка эксплойтов была обнаружена на GitHub 17 ноября и добавлена в проект PHP Common Utility Chains (PHPGGC). Пользователям следует вручную проверить свои сайты, чтобы убедиться, что они обновлены до последней версии.

WordPress — бесплатная, простая в использовании и популярная во всем мире система управления контентом. Благодаря простой установке и широкой поддержке пользователи могут быстро создавать любые веб-сайты: от интернет-магазинов до порталов, форумов и т. д.

По данным W3Techs, в 2023 году WordPress будет использоваться на 45,8% всех веб-сайтов в Интернете, по сравнению с 43,2% в 2022 году. Это означает, что более двух из пяти веб-сайтов будут работать на WordPress.