WordPress ha lanzado una actualización importante, la versión 6.4.2, para abordar una vulnerabilidad crítica de ejecución remota de código. Esta actualización es crucial, ya que afecta a una gran cantidad de Webs en todo el mundo, dada la popularidad de este CMS.
La vulnerabilidad específica se encuentra en la clase WP_HTML_Token, introducida en la versión 6.4 de WordPress. Esta clase se encarga de mejorar el análisis de HTML en el editor de bloques. El problema radica en que, bajo ciertas circunstancias, podría permitir a los atacantes ejecutar código PHP arbitrario en los sitios afectados. Esta ejecución de código se vuelve posible cuando se combina con una vulnerabilidad de inyección de objetos PHP en un plugin o tema adicional instalado en el sitio.
Según los informes de seguridad, aunque la vulnerabilidad no es directamente explotable en el núcleo de WordPress, puede ser de alta gravedad cuando se combina con ciertos plugins, especialmente en instalaciones multisitio. La preocupación aumenta debido a que WordPress es utilizado por una gran parte de los sitios en Internet, lo que amplía significativamente la superficie de ataque.
Mejoras en la versión 6.4.2 de WordPress
La actualización a la versión 6.4.2 aborda esta vulnerabilidad crítica e incluye siete correcciones para varios errores menores del núcleo del CMS. Estos abarcan desde problemas con las hojas de estilo y directorios de temas hasta mejoras en la funcionalidad y seguridad del sistema.
Es importante destacar que la comunidad de WordPress recomienda encarecidamente a los administradores de sitios Web que actualicen a esta nueva versión lo antes posible. Esta actualización es esencial para proteger las Webs contra posibles ataques que exploten esta vulnerabilidad. Además, se aconseja revisar y actualizar regularmente todos los plugins y temas para minimizar los riesgos de seguridad.
