وفقًا لموقع The Hacker News، أصدر WordPress الإصدار 6.4.2، الذي يعمل على إصلاح ثغرة أمنية خطيرة يمكن استغلالها من قبل المتسللين بالاشتراك مع خطأ آخر لتنفيذ تعليمات برمجية PHP عشوائية على مواقع الويب التي لا تزال تعاني من الثغرة الأمنية.

وقالت الشركة إن ثغرة تنفيذ التعليمات البرمجية عن بعد ليست قابلة للاستغلال بشكل مباشر في النواة، لكن فريق الأمان يشعر أنها لديها القدرة على التسبب في ثغرة أمنية عالية الخطورة عند دمجها مع مكونات إضافية معينة، وخاصة في التثبيتات متعددة المواقع.

وفقًا لشركة الأمن Wordfence، تنبع المشكلة من فئة تم تقديمها في الإصدار 6.4 لتحسين تحليل HTML في شاشة محرر الكتل. من خلال ذلك، يتمكن المتسللون من استغلال الثغرة الأمنية لإدراج كائنات PHP الموجودة في المكونات الإضافية أو السمات للجمع بينها لتنفيذ تعليمات برمجية عشوائية والسيطرة على موقع الويب المستهدف. نتيجة لذلك، يمكن للمهاجم حذف ملفات عشوائية، أو استرداد بيانات حساسة، أو تنفيذ التعليمات البرمجية.

وفي استشارة مماثلة، قالت شركة Patchstack إنه تم العثور على سلسلة استغلال على GitHub اعتبارًا من 17 نوفمبر وتمت إضافتها إلى مشروع PHP Common Utility Chain (PHPGGC). يجب على المستخدمين التحقق يدويًا من موقع الويب الخاص بهم للتأكد من تحديثه إلى الإصدار الأحدث.

WordPress هو نظام إدارة محتوى مجاني وسهل الاستخدام ويحظى بشعبية عالمية. بفضل التثبيت السهل والدعم الشامل، يمكن للمستخدمين إنشاء جميع أنواع مواقع الويب بسرعة من المتاجر عبر الإنترنت والبوابات والمنتديات المناقشة...

وفقًا لبيانات من W3Techs، سيدعم WordPress 45.8% من جميع مواقع الويب على الإنترنت في عام 2023، مقارنة بـ 43.2% في عام 2022. وهذا يعني أن أكثر من 2 من كل 5 مواقع ويب سيتم تشغيلها بواسطة WordPress.