Laut The Hacker News hat WordPress die Version 6.4.2 veröffentlicht, die eine schwerwiegende Sicherheitslücke schließt, die von Hackern in Kombination mit einem weiteren Fehler ausgenutzt werden könnte, um beliebigen PHP-Code auf Websites auszuführen, auf denen diese Sicherheitslücke noch immer besteht.
Die Sicherheitslücke, die eine Remote-Code-Ausführung ermöglicht, kann nicht direkt im Kern ausgenutzt werden. Das Sicherheitsteam ist jedoch der Ansicht, dass in Kombination mit bestimmten Plug-ins, insbesondere bei Multisite-Installationen, eine schwerwiegende Sicherheitslücke entstehen kann, erklärte das Unternehmen.
Laut dem Sicherheitsunternehmen Wordfence liegt das Problem an einer Klasse, die in Version 6.4 eingeführt wurde, um die HTML-Analyse im Blockeditor-Bildschirm zu verbessern. Dadurch können Hacker die Schwachstelle ausnutzen, um in Plug-Ins oder Designs enthaltene PHP-Objekte einzufügen und diese zu kombinieren, um beliebigen Code auszuführen und so die Kontrolle über die Zielwebsite zu erlangen. Dadurch könnte ein Angreifer beliebige Dateien löschen, vertrauliche Daten abrufen oder Code ausführen.
Als beliebte Content-Management-Plattform ist WordPress auch ein Ziel für Hacker.
In einer ähnlichen Warnung sagte Patchstack, dass am 17. November eine Exploit-Kette auf GitHub gefunden und dem PHP Common Utility Chain (PHPGGC)-Projekt hinzugefügt wurde. Benutzer sollten ihre Website manuell überprüfen, um sicherzustellen, dass sie auf die neueste Version aktualisiert ist.
WordPress ist ein kostenloses, benutzerfreundliches und weltweit beliebtes Content-Management-System. Dank der einfachen Installation und des umfassenden Supports können Benutzer schnell alle Arten von Websites erstellen: Online-Shops, Portale, Diskussionsforen usw.
Laut Angaben von W3Techs werden im Jahr 2023 45,8 % aller Websites im Internet auf WordPress basieren, im Vergleich zu 43,2 % im Jahr 2022. Das bedeutet, dass mehr als zwei von fünf Websites auf WordPress basieren werden.
[Anzeige_2]
Quellenlink
Kommentar (0)