WordPress 6.4.2 виправляє критичну вразливість безпеки.

Згідно з The Hacker News, WordPress випустив версію 6.4.2, яка виправляє критичну вразливість безпеки, яку можуть використати хакери в поєднанні з іншою вадою для виконання довільного PHP-коду на веб-сайтах, які все ще вразливі до цієї вади.

Компанія заявила, що вразливість віддаленого виконання коду не може бути використана безпосередньо в ядрі; проте команда безпеки вважала, що вона може спричинити високий ступінь серйозності в поєднанні з певними плагінами, особливо в умовах багатосайтової інсталяції.

За даними компанії з безпеки Wordfence, проблема пов'язана з класом, представленим у версії 6.4 для покращення парсингу HTML у блочному редакторі. Завдяки цьому хакери можуть використовувати вразливість для впровадження PHP-об'єктів, що містяться в плагінах або темах, поєднуючи їх для виконання довільного коду та отримання контролю над цільовим веб-сайтом. В результаті зловмисники можуть видаляти довільні файли, отримувати доступ до конфіденційних даних або виконувати код.

У аналогічному попередженні Patchstack заявив, що станом на 17 листопада на GitHub було знайдено ланцюжок експлойтів, який було додано до проєкту PHP Generic Utility Chains (PHPGGC). Користувачам слід вручну перевірити свої веб-сайти, щоб переконатися, що вони оновлені до останньої версії.

WordPress — це безкоштовна, проста у використанні та популярна в усьому світі система керування контентом. Завдяки простому встановленню та широкій підтримці користувачі можуть швидко створювати різні типи веб-сайтів, від інтернет-магазинів та порталів до дискусійних форумів.

Згідно з даними W3Techs, у 2023 році WordPress становив 45,8% усіх веб-сайтів в Інтернеті, порівняно з 43,2% у 2022 році. Це означає, що понад 2 з кожних 5 веб-сайтів використовують платформу WordPress.