Enligt The Hacker News har WordPress släppt version 6.4.2, som åtgärdar en kritisk säkerhetsbrist som hackare kan utnyttja i kombination med en annan brist för att exekvera godtycklig PHP-kod på webbplatser som fortfarande är sårbara för denna brist.
Företaget uppgav att sårbarheten för fjärrkodexekvering inte kan utnyttjas direkt i kärnan; säkerhetsteamet ansåg dock att den hade potential att orsaka en hög grad av allvarlighetsgrad i kombination med vissa plugins, särskilt i installationer på flera platser.
Enligt säkerhetsföretaget Wordfence härrör problemet från en klass som introducerades i version 6.4 för att förbättra HTML-parsning i blockredigeraren. Genom detta kan hackare utnyttja sårbarheten för att injicera PHP-objekt som finns i plugins eller teman, och kombinera dem för att köra godtycklig kod och få kontroll över målwebbplatsen. Som ett resultat kan angripare radera godtyckliga filer, komma åt känsliga data eller köra kod.
Som en populär plattform för innehållshantering är WordPress också ett mål för hackare.
I en liknande varning uppgav Patchstack att en exploitkedja hittades på GitHub den 17 november och lades till i PHP Generic Utility Chains (PHPGGC)-projektet. Användare bör manuellt kontrollera sina webbplatser för att säkerställa att de är uppdaterade till den senaste versionen.
WordPress är ett gratis, lättanvänt och globalt populärt innehållshanteringssystem. Tack vare den enkla installationen och det omfattande stödet kan användare snabbt skapa olika typer av webbplatser, från webbutiker och portaler till diskussionsforum.
Enligt data från W3Techs stod WordPress för 45,8 % av alla webbplatser på internet år 2023, en ökning från 43,2 % år 2022. Det betyder att mer än 2 av 5 webbplatser använder WordPress-plattformen.
[annons_2]
Källänk
Kommentar (0)