WordPress 6.4.2 åtgärdar allvarlig säkerhetsbrist

Enligt The Hacker News har WordPress släppt version 6.4.2, som åtgärdar en allvarlig säkerhetsbrist som hackare i kombination med en annan bugg skulle kunna utnyttja för att exekvera godtycklig PHP-kod på webbplatser som fortfarande har sårbarheten.

Sårbarheten för fjärrkodexekvering kan inte utnyttjas direkt i kärnan, men säkerhetsteamet anser att den har potential att orsaka hög allvarlighetsgrad i kombination med vissa plugin-program, särskilt i installationer på flera platser, sa företaget.

Enligt säkerhetsföretaget Wordfence härrör problemet från en klass som introducerades i version 6.4 för att förbättra HTML-parsning i blockredigeraren. Genom detta kan en angripare utnyttja sårbarheten för att injicera PHP-objekt som finns i plugins eller teman för att köra godtycklig kod och få kontroll över målwebbplatsen. Som ett resultat kan angriparen radera godtyckliga filer, hämta känsliga data eller köra kod.

I en liknande rekommendation sa Patchstack att en exploitkedja hittades på GitHub den 17 november och lades till i PHP Common Utility Chains (PHPGGC)-projektet. Användare bör manuellt kontrollera sina webbplatser för att säkerställa att de har uppdaterat till den senaste versionen.

WordPress är ett gratis, lättanvänt och globalt populärt innehållshanteringssystem. Med enkel installation och omfattande support kan användare snabbt skapa alla typer av webbplatser från webbutiker, portaler, diskussionsforum...

Enligt data från W3Techs kommer WordPress att driva 45,8 % av alla webbplatser på internet år 2023, en ökning från 43,2 % år 2022. Det betyder att mer än 2 av 5 webbplatser kommer att drivas av WordPress.