Según The Hacker News, WordPress ha lanzado la versión 6.4.2, que corrige una grave vulnerabilidad de seguridad que podría ser explotada por piratas informáticos en combinación con otro error para ejecutar código PHP arbitrario en sitios web que aún tienen la vulnerabilidad.

La vulnerabilidad de ejecución remota de código no se puede explotar directamente en el núcleo, pero el equipo de seguridad cree que tiene el potencial de causar una vulnerabilidad de alta gravedad cuando se combina con ciertos complementos, especialmente en instalaciones de múltiples sitios, dijo la compañía.

Según la empresa de seguridad Wordfence, el problema se debe a una clase introducida en la versión 6.4 para mejorar el análisis de HTML en la pantalla del editor de bloques. Gracias a esto, los piratas informáticos pueden explotar la vulnerabilidad para insertar objetos PHP contenidos en complementos o temas para combinarlos y ejecutar código arbitrario y obtener el control del sitio web de destino. Como resultado, un atacante podría eliminar archivos arbitrarios, recuperar datos confidenciales o ejecutar código.

En un aviso similar, Patchstack dijo que se encontró una cadena de explotación en GitHub a partir del 17 de noviembre y se agregó al proyecto PHP Common Utility Chain (PHPGGC). Los usuarios deben verificar manualmente su sitio web para asegurarse de que esté actualizado a la última versión.

WordPress es un sistema de gestión de contenido gratuito, fácil de usar y popular a nivel mundial. Gracias a una fácil instalación y un amplio soporte, los usuarios pueden crear rápidamente todo tipo de sitios web, desde tiendas online, portales, foros de discusión...

Según datos de W3Techs, WordPress impulsará el 45,8% de todos los sitios web en Internet en 2023, frente al 43,2% en 2022. Eso significa que más de 2 de cada 5 sitios web funcionarán con WordPress.