По данным The Hacker News, WordPress выпустил версию 6.4.2, которая устраняет серьезную уязвимость безопасности, которую могут использовать хакеры в сочетании с другой ошибкой для выполнения произвольного PHP-кода на веб-сайтах, на которых все еще присутствует уязвимость.

Компания заявила, что уязвимость удаленного выполнения кода не может быть использована напрямую в ядре, но команда по безопасности считает, что она может стать причиной уязвимости высокой степени серьезности в сочетании с определенными плагинами, особенно при многосайтовых установках.

По данным компании Wordfence, занимающейся безопасностью, проблема связана с классом, представленным в версии 6.4 для улучшения анализа HTML на экране редактора блоков. Благодаря этому хакеры могут воспользоваться уязвимостью, чтобы вставлять PHP-объекты, содержащиеся в плагинах или темах, и объединять их для выполнения произвольного кода, а также получать контроль над целевым веб-сайтом. В результате злоумышленник может удалить произвольные файлы, получить конфиденциальные данные или выполнить код.

В аналогичном сообщении Patchstack говорится, что цепочка эксплойтов была обнаружена на GitHub 17 ноября и добавлена ​​в проект PHP Common Utility Chain (PHPGGC). Пользователям следует вручную проверять свой веб-сайт, чтобы убедиться, что он обновлен до последней версии.

WordPress — бесплатная, простая в использовании и популярная во всем мире система управления контентом. Благодаря простой установке и обширной поддержке пользователи могут быстро создавать всевозможные веб-сайты: интернет-магазины, порталы, форумы для обсуждения...

По данным W3Techs, в 2023 году WordPress будет использоваться на 45,8% всех веб-сайтов в Интернете по сравнению с 43,2% в 2022 году. Это означает, что более 2 из 5 веб-сайтов будут работать на WordPress.