WordPress 6.4.2 が重大なセキュリティ脆弱性を修正

The Hacker News によると、 WordPress はバージョン 6.4.2 をリリースしました。このバージョンでは、別のバグと組み合わせてハッカーが悪用し、脆弱性が残っている Web サイトで任意の PHP コードを実行する可能性がある重大なセキュリティ脆弱性が修正されています。

同社によれば、リモートコード実行の脆弱性はコア内で直接悪用されることはないが、セキュリティチームは、特にマルチサイトインストールにおいて、特定のプラグインと組み合わせると、重大度の高い脆弱性を引き起こす可能性があると考えているという。

セキュリティ会社 Wordfence によると、この問題は、ブロック エディター画面での HTML 解析を改善するためにバージョン 6.4 で導入されたクラスに起因しています。これにより、ハッカーは脆弱性を悪用してプラグインやテーマに含まれる PHP オブジェクトを挿入し、組み合わせて任意のコードを実行し、対象の Web サイトを制御することができます。その結果、攻撃者は任意のファイルを削除したり、機密データを取得したり、コードを実行したりする可能性があります。

同様の勧告の中で、Patchstack は、11 月 17 日の時点で GitHub 上でエクスプロイト チェーンが発見され、PHP Common Utility Chain (PHPGGC) プロジェクトに追加されたと述べています。ユーザーは、Web サイトが最新バージョンに更新されているかどうかを手動で確認する必要があります。

WordPress は、無料で使いやすく、世界的に人気のあるコンテンツ管理システムです。簡単なインストールと広範なサポートにより、ユーザーはオンライン ストア、ポータル、ディスカッション フォーラムなど、あらゆる種類の Web サイトをすばやく作成できます。

W3Techs のデータによると、WordPress はインターネット上のすべてのウェブサイトの 45.8% を占め、2022 年の 43.2% から増加します。つまり、5 つのウェブサイトのうち 2 つ以上が WordPress で運営されることになります。