WordPress waarschuwt voor een kritieke kwetsbaarheid waardoor websites op afstand zijn over te nemen. Via het beveiligingslek is in bepaalde omstandigheden remote code execution mogelijk. Beheerders worden dan ook aangeraden om direct te updaten naar WordPress 6.4.2 waarin het probleem is verholpen. Het beveiligingslek is niet direct te misbruiken in WordPress ‘core’. Hiervoor is een aparte kwetsbaarheid in bijvoorbeeld een plug-in of theme vereist.
De benodigde ‘object injection’ kwetsbaarheden komen echter op grote schaal voor in themes en plug-ins, aldus securitybedrijf Wordfence. Door deze beveiligingslekken met de kwetsbaarheid in WordPress zelf te combineren kunnen aanvallers websites op afstand volledig overnemen. Het beveiligingslek zit sinds versie 6.4 in WordPress. Wordfence stelt dat de meeste WordPress-sites automatisch de update zullen installeren, maar adviseert beheerders om te controleren of ze up-to-date zijn.