Laut The Hacker News hat WordPress die Version 6.4.2 veröffentlicht, die eine schwerwiegende Sicherheitslücke schließt, die von Hackern in Kombination mit einem weiteren Fehler ausgenutzt werden könnte, um beliebigen PHP-Code auf Websites auszuführen, die diese Sicherheitslücke noch aufweisen.

Die Sicherheitslücke, die eine Remote-Code-Ausführung ermöglicht, kann im Kern nicht direkt ausgenutzt werden, das Sicherheitsteam ist jedoch der Ansicht, dass sie in Kombination mit bestimmten Plug-Ins, insbesondere bei Multisite-Installationen, möglicherweise eine schwerwiegende Sicherheitslücke darstellt, so das Unternehmen.

Laut dem Sicherheitsunternehmen Wordfence liegt das Problem an einer in Version 6.4 eingeführten Klasse zur Verbesserung der HTML-Analyse im Blockeditor-Bildschirm. Dadurch können Hacker die Sicherheitslücke ausnutzen, um in Plugins oder Designs enthaltene PHP-Objekte einzufügen, diese zu kombinieren und beliebigen Code auszuführen und so die Kontrolle über die Zielwebsite zu erlangen. Dadurch könnte ein Angreifer beliebige Dateien löschen, vertrauliche Daten abrufen oder Code ausführen.

In einer ähnlichen Warnung sagte Patchstack, dass am 17. November eine Exploit-Kette auf GitHub gefunden und dem PHP Common Utility Chain (PHPGGC)-Projekt hinzugefügt wurde. Benutzer sollten ihre Website manuell überprüfen, um sicherzustellen, dass sie auf die neueste Version aktualisiert ist.

WordPress ist ein kostenloses, benutzerfreundliches und weltweit beliebtes Content-Management-System. Dank der einfachen Installation und des umfassenden Supports können Benutzer schnell alle Arten von Websites erstellen, von Online-Shops, Portalen, Diskussionsforen usw.

Laut Daten von W3Techs werden im Jahr 2023 45,8 % aller Websites im Internet auf WordPress basieren, gegenüber 43,2 % im Jahr 2022. Das bedeutet, dass mehr als zwei von fünf Websites auf WordPress basieren werden.