آپدیت جدید وردپرس یک وصله امنیتی برای نسخه قبلی یعنی ۶.۴۱ هست، این آسیبپذیری ممکنه با روشهای دیگه ترکیب بشه و به مهاجمها امکان این رو بده که کدهای دلخواهشون رو در سایت وردپرسی شما اجرا کنن، این آسیبپذیری از نوع اجرای کد از راه دور (RCE) هست.
آسیبپذیری در کلاس WP_HTML_Token وجود داره که توی وردپرس ۶.۴ برای تجزیه HTML توی ویرایشگر بلوک معرفی شد. ظاهرا روی خود وردپرس تاثیر زیادی نداره ولی میتونه باعث نفوذ از طریق پلاگینها و قالبهای وردپرس بشه که از نظر امنیتی مشکلات کوچیکی دارن
وردپرس الان توی نسخه ۶.۴.۲ این مشکل را با یک روش جدید به اسم __wakeup برطرف کرده و از این آسیبپذیری جلوگیری میکنه.
توصیهها
- مثل همیشه به آخرین نسخه وردپرس آپدیت کنید، حتما حداقل از PHP 7.4 استفاده کنید و البته که چه بهتر اگه نسخه بالاتری باشه.
- هاستها همیشه از نظر شبکه یا هارد میتونن ضعیف باشن، به خاطر همین سعی کنید آپدیتهارو دستی و از طریق ترمینال یا هاست انجام بدید، اگه روی سرور شما WP-CLI هست میتونید خیلی ساده با دستور wp core update هم آپدیت کنید که روش مطمئنتری نسبت به آپدیت کردن از داخل وردپرس هست.
- سعی کنید دوستانتون رو هم از این مشکل آگاه کنید.
لینکها
منبع: https://wordpress.org/documentation/wordpress-version/version-6-4-2/
دانلود آخرین نسخه وردپرس: https://wordpress.org/download/release-archive/
لیست کسانی که در پروژه مشارکت داشتند
Aaron Jorbin, Aki Hamano, Akira Tachibana, Alex Concha, Angela Jin, Anton Vlasenko, Barry, bernhard-reiter, Caleb Burks, Corey Worrell, crstauf, Darren Ethier (nerrad), David Baumwald, Dennis Snell, Dion Hulse, Erik, Fabian Todt, Felix Arntz, Héctor Prieto, ironprogrammer, Isabel Brison, Jb Audras, Jeffrey Paul, Jessica Lyschik, Joe McGill, John Blackbourn, Jonathan Desrosiers, Kharis Sulistiyono, Krupal Panchal, Kylen Downs, meta4, Mike Schroder, Mukesh Panchal, partyfrikadelle, Peter Wilson, Pieterjan Deneys, rawrly, rebasaurus, Sergey Biryukov, Tonya Mork, vortfu