Вышло обновление, исправляющее RCE уязвимость в Word­Press. Уязвимость исправляется в версии 6.4.2. CVE-шки нет и вендор характеризует её неопределенно:

"Уязвимость удаленного выполнения кода, которая не может быть использована напрямую в ядре, однако команда безопасности считает, что существует потенциал высокой критичности (sever­i­ty) в сочетании с некоторыми плагинами, особенно при мультисайтовых инсталляций (mul­ti­site installs)." 🤷‍♂️

Patch­stack пишут, что уязвимость экслуатабельна только в сочетании с другой PHP object injec­tion уязвимостью. Пишут, что уязвимы версии 6.4.0 и 6.4.1, однако рекомендуют:

"как можно скорее обновить свой сайт до версии 6.4.2, даже если вы не используете версию 6.4.0 или 6.4.1."

При этом 6.4.2 это не secu­ri­ty release, и автоматическое обновление, как видно на скриншоте, может не отрабатывать. 🤔

Имхо, лучше всё же перестраховаться и

🔹 прожать обновление до 6.4.2
🔹 перевести в сайт в режим "Auto­mat­ic updates for all Word­Press ver­sions"