WordPress 6.4.2 Ciddi Güvenlik Açığını Yaması

The Hacker News'e göre WordPress, saldırganların başka bir hatayla birlikte kullanarak güvenlik açığı bulunan web sitelerinde keyfi PHP kodu çalıştırmasına olanak tanıyan ciddi bir güvenlik açığını kapatan 6.4.2 sürümünü yayınladı.

Şirket, uzaktan kod yürütme açığının doğrudan çekirdekte istismar edilemeyeceğini, ancak güvenlik ekibinin, özellikle çoklu site kurulumlarında belirli eklentilerle birleştirildiğinde yüksek bir ciddiyet yaratma potansiyeline sahip olduğunu düşündüğünü belirtti.

Güvenlik firması Wordfence'e göre, sorun, blok düzenleyicide HTML ayrıştırmayı iyileştirmek için 6.4 sürümünde eklenen bir sınıftan kaynaklanıyor. Bu sayede bir saldırgan, eklentilerde veya temalarda bulunan PHP nesnelerini enjekte ederek rastgele kod çalıştırabilir ve hedef web sitesinin kontrolünü ele geçirebilir. Sonuç olarak, saldırgan rastgele dosyaları silebilir, hassas verileri alabilir veya kod çalıştırabilir.

Patchstack, benzer bir duyuruda, 17 Kasım itibarıyla GitHub'da bir istismar zinciri bulunduğunu ve PHP Ortak Yardımcı Program Zincirleri (PHPGGC) projesine eklendiğini belirtti. Kullanıcılar, web sitelerini manuel olarak kontrol ederek en son sürüme güncellendiklerinden emin olmalıdır.

WordPress, ücretsiz, kullanımı kolay ve dünya çapında popüler bir içerik yönetim sistemidir. Kolay kurulumu ve kapsamlı desteğiyle kullanıcılar, çevrimiçi mağazalardan, portallardan, tartışma forumlarından vb. her türlü web sitesini hızla oluşturabilirler.

W3Techs'in verilerine göre, WordPress 2023 yılında internetteki tüm web sitelerinin %45,8'ine güç sağlayacak. Bu oran 2022'de %43,2 idi. Bu da her 5 web sitesinden 2'sinden fazlasının WordPress tarafından destekleneceği anlamına geliyor.