The Hacker News에 따르면, WordPress는 심각한 보안 취약점을 패치한 버전 6.4.2를 출시했습니다. 이 취약점은 해커가 다른 버그와 결합하여 취약점이 여전히 존재하는 웹사이트에서 임의의 PHP 코드를 실행할 수 있는 악용 사례가 있습니다.

회사 측은 원격 코드 실행 취약점은 핵심 부분에서 직접 악용될 수 없지만, 보안팀은 특히 다중 사이트 설치에서 특정 플러그인과 결합될 경우 심각한 취약점을 초래할 가능성이 있다고 생각한다고 밝혔습니다.

보안 회사인 Wordfence에 따르면, 이 문제는 블록 편집기 화면에서 HTML 구문 분석을 개선하기 위해 버전 6.4에 도입된 클래스에서 비롯됩니다. 해커는 이를 악용하여 플러그인이나 테마에 포함된 PHP 객체를 삽입하고 이를 결합하여 임의의 코드를 실행하고 대상 웹사이트를 제어할 수 있습니다. 결과적으로 공격자는 임의의 파일을 삭제하고, 민감한 데이터를 검색하거나, 코드를 실행할 수 있습니다.

Patchstack은 비슷한 권고안에서 11월 17일 GitHub에서 악용 체인이 발견되어 PHPGGC(PHPGC) 프로젝트에 추가되었다고 밝혔습니다. 사용자는 자신의 웹사이트가 최신 버전으로 업데이트되었는지 직접 확인해야 합니다.

워드프레스는 무료이며 사용하기 쉽고 전 세계적으로 인기 있는 콘텐츠 관리 시스템입니다. 간편한 설치와 광범위한 지원 덕분에 사용자는 온라인 상점, 포털, 토론 포럼 등 모든 종류의 웹사이트를 빠르게 만들 수 있습니다.

W3Techs의 데이터에 따르면 WordPress는 2023년에 인터넷상의 모든 웹사이트 중 45.8%를 차지할 것으로 예상되는데, 이는 2022년의 43.2%보다 증가한 수치입니다. 즉, 5개 웹사이트 중 2개 이상이 WordPress를 기반으로 운영된다는 의미입니다.