Selon The Hacker News, WordPress a publié la version 6.4.2, qui corrige une grave vulnérabilité de sécurité qui pourrait être exploitée par des pirates en combinaison avec un autre bug pour exécuter du code PHP arbitraire sur des sites Web qui présentent toujours la vulnérabilité.

La vulnérabilité d'exécution de code à distance n'est pas directement exploitable dans le noyau, mais l'équipe de sécurité estime qu'elle a le potentiel de provoquer une vulnérabilité de gravité élevée lorsqu'elle est combinée avec certains plugins, en particulier dans les installations multisites, a déclaré la société.

Selon la société de sécurité Wordfence, le problème provient d'une classe introduite dans la version 6.4 pour améliorer l'analyse HTML dans l'écran de l'éditeur de blocs. Grâce à cela, les pirates informatiques peuvent exploiter la vulnérabilité pour insérer des objets PHP contenus dans des plugins ou des thèmes afin de les combiner pour exécuter du code arbitraire et prendre le contrôle du site Web cible. Par conséquent, un attaquant pourrait supprimer des fichiers arbitraires, récupérer des données sensibles ou exécuter du code.

Dans un avis similaire, Patchstack a déclaré qu'une chaîne d'exploitation avait été trouvée sur GitHub le 17 novembre et ajoutée au projet PHP Common Utility Chain (PHPGGC). Les utilisateurs doivent vérifier manuellement leur site Web pour s'assurer qu'il est mis à jour avec la dernière version.

WordPress est un système de gestion de contenu gratuit, facile à utiliser et populaire dans le monde entier. Grâce à une installation facile et à un support étendu, les utilisateurs peuvent créer rapidement toutes sortes de sites Web à partir de boutiques en ligne, de portails, de forums de discussion...

Selon les données de W3Techs, WordPress alimentera 45,8 % de tous les sites Web sur Internet en 2023, contre 43,2 % en 2022. Cela signifie que plus de 2 sites Web sur 5 seront alimentés par WordPress.