WordPress 6.4.2 は深刻なセキュリティ脆弱性を修正しました

The Hacker News によると、 WordPress はバージョン 6.4.2 をリリースしました。このバージョンでは、別のバグと組み合わせてハッカーが悪用し、脆弱性が残っている Web サイトで任意の PHP コードを実行する可能性がある重大なセキュリティ脆弱性が修正されています。

同社によれば、リモートコード実行の脆弱性はコア部分で直接悪用されることはないが、セキュリティチームは、特にマルチサイトインストールにおいて、特定のプラグインと組み合わせると深刻な事態を引き起こす可能性があると考えているという。

セキュリティ企業Wordfenceによると、この問題はバージョン6.4でブロックエディターのHTML解析を改善するために導入されたクラスに起因しています。攻撃者はこの脆弱性を悪用し、プラグインやテーマに含まれるPHPオブジェクトを挿入することで任意のコードを実行し、標的のウェブサイトを制御下に置くことができます。その結果、攻撃者は任意のファイルを削除したり、機密データを取得したり、コードを実行したりすることが可能になります。

Patchstackも同様のアドバイザリで、11月17日時点でGitHub上でエクスプロイトチェーンが発見され、PHP Common Utility Chains（PHPGGC）プロジェクトに追加されたと述べています。ユーザーは、ウェブサイトが最新バージョンに更新されていることを手動で確認する必要があります。

WordPressは、無料で使いやすく、世界中で人気のコンテンツ管理システムです。簡単なインストールと充実したサポートにより、オンラインストア、ポータル、ディスカッションフォーラムなど、あらゆる種類のウェブサイトを素早く作成できます。

W3Techs のデータによると、WordPress はインターネット上のすべてのウェブサイトのうち 2022 年の 43.2% から 2023 年には 45.8% を占めることになります。つまり、5 つのウェブサイトのうち 2 つ以上が WordPress で運営されることになります。