WordPress 6.4.2 исправляет серьезную уязвимость безопасности

По данным The Hacker News, WordPress выпустил версию 6.4.2, которая устраняет серьезную уязвимость безопасности, которую могут использовать хакеры в сочетании с другой ошибкой для выполнения произвольного PHP-кода на веб-сайтах, на которых все еще присутствует уязвимость.

Компания заявила, что уязвимость удаленного выполнения кода не может быть использована напрямую в ядре, но команда по безопасности считает, что она может стать причиной уязвимости высокой степени серьезности в сочетании с определенными плагинами, особенно при многосайтовых установках.

По данным компании Wordfence, проблема связана с классом, представленным в версии 6.4 для улучшения анализа HTML в редакторе блоков. С помощью этого злоумышленник может использовать уязвимость для внедрения объектов PHP, содержащихся в плагинах или темах, которые можно объединить для выполнения произвольного кода и получения контроля над целевым веб-сайтом. В результате злоумышленник может удалить произвольные файлы, получить конфиденциальные данные или выполнить код.

В аналогичном сообщении Patchstack говорится, что цепочка эксплойтов была обнаружена на GitHub 17 ноября и добавлена ​​в проект PHP Common Utility Chains (PHPGGC). Пользователи должны вручную проверить свои веб-сайты, чтобы убедиться, что они обновлены до последней версии.

WordPress — это бесплатная, простая в использовании и популярная во всем мире система управления контентом. Благодаря простой установке и обширной поддержке пользователи могут быстро создавать всевозможные веб-сайты из интернет-магазинов, порталов, дискуссионных форумов...

По данным W3Techs, в 2023 году WordPress будет использоваться на 45,8% всех веб-сайтов в Интернете по сравнению с 43,2% в 2022 году. Это означает, что более 2 из 5 веб-сайтов будут работать на WordPress.