Laut The Hacker News hat WordPress die Version 6.4.2 veröffentlicht, die eine schwerwiegende Sicherheitslücke schließt, die von Hackern in Kombination mit einem weiteren Fehler ausgenutzt werden könnte, um beliebigen PHP-Code auf Websites auszuführen, die diese Sicherheitslücke noch aufweisen.
Die Sicherheitslücke, die eine Remote-Code-Ausführung ermöglicht, kann nicht direkt im Kern ausgenutzt werden, das Sicherheitsteam ist jedoch der Ansicht, dass sie in Kombination mit bestimmten Plug-Ins, insbesondere bei Multisite-Installationen, möglicherweise eine schwerwiegende Sicherheitslücke darstellt, so das Unternehmen.
Laut dem Sicherheitsunternehmen Wordfence liegt das Problem an einer in Version 6.4 eingeführten Klasse zur Verbesserung der HTML-Analyse im Blockeditor. Dadurch könnte ein Angreifer die Schwachstelle ausnutzen, um PHP-Objekte aus Plugins oder Themes einzuschleusen, die kombiniert werden könnten, um beliebigen Code auszuführen und die Kontrolle über die Zielwebsite zu erlangen. Dadurch könnte der Angreifer beliebige Dateien löschen, sensible Daten abrufen oder Code ausführen.
Als beliebte Content-Management-Plattform ist WordPress auch ein Angriffsziel für Hacker.
In einer ähnlichen Meldung erklärte Patchstack, dass am 17. November eine Exploit-Kette auf GitHub gefunden und dem PHP Common Utility Chains (PHPGGC)-Projekt hinzugefügt wurde. Nutzer sollten ihre Websites manuell überprüfen, um sicherzustellen, dass sie auf die neueste Version aktualisiert wurden.
WordPress ist ein kostenloses, benutzerfreundliches und weltweit beliebtes Content-Management-System. Dank der einfachen Installation und des umfassenden Supports können Benutzer schnell Websites aller Art erstellen – von Online-Shops über Portale bis hin zu Diskussionsforen …
Laut Daten von W3Techs werden im Jahr 2023 45,8 % aller Websites im Internet auf WordPress basieren, gegenüber 43,2 % im Jahr 2022. Das bedeutet, dass mehr als zwei von fünf Websites auf WordPress basieren werden.
[Anzeige_2]
Quellenlink
Kommentar (0)