Патчі WordPress 6.4.2 виправляють серйозну вразливість безпеки

Згідно з The Hacker News, WordPress випустив версію 6.4.2, яка виправляє серйозну вразливість безпеки, яку можуть використати хакери в поєднанні з іншою помилкою для виконання довільного PHP-коду на веб-сайтах, що все ще мають цю вразливість.

Уразливість віддаленого виконання коду не може бути використана безпосередньо в ядрі, але команда безпеки вважає, що вона може призвести до високого рівня небезпеки в поєднанні з певними плагінами, особливо в умовах багатосайтової інсталяції, заявила компанія.

За даними компанії з безпеки Wordfence, проблема виникає через клас, представлений у версії 6.4 для покращення парсингу HTML у блочному редакторі. Завдяки цьому зловмисник може скористатися вразливістю для впровадження об'єктів PHP, що містяться в плагінах або темах, для виконання довільного коду та отримання контролю над цільовим веб-сайтом. В результаті зловмисник може видаляти довільні файли, отримувати конфіденційні дані або виконувати код.

У аналогічному повідомленні Patchstack повідомив, що станом на 17 листопада на GitHub було виявлено ланцюжок експлойтів, який було додано до проєкту PHP Common Utility Chains (PHPGGC). Користувачам слід вручну перевірити свої веб-сайти, щоб переконатися, що вони оновилися до останньої версії.

WordPress — це безкоштовна, проста у використанні та популярна в усьому світі система керування контентом. Завдяки легкому встановленню та широкій підтримці користувачі можуть швидко створювати всілякі веб-сайти: інтернет-магазини, портали, форуми для обговорення...

Згідно з даними W3Techs, WordPress буде використовуватися на 45,8% усіх вебсайтів в інтернеті у 2023 році, порівняно з 43,2% у 2022 році. Це означає, що понад 2 з 5 вебсайтів будуть працювати на WordPress.