ዎርድፕረስ ለአራት ከባድ ተጋላጭነቶች የአደጋ ጊዜ መጣጥፍን አስተዋውቋል። WordPress 5.8.3 ወዲያውኑ ይገኛል።
WP_Meta_Query እና WP_Query በይዘት አስተዳደር ስርዓት ውስጥ ሁለት ወሳኝ እና በስፋት ጥቅም ላይ የዋሉ ክፍሎች ለSQL መርፌ ጥቃት ተጋላጭ ሆነው ተገኝተዋል። የXSS ጥቃቶች የተቻሉት በፖስት slugs (በዩአርኤል ውስጥ ያሉ የገጾች ልዩ ስም) ነው። አንዳንድ የዎርድፕረስ መልቲሳይቶች እንዲሁ ለPHP ነገር መርፌ የተጋለጡ ነበሩ። የኋለኛው የርቀት ኮድ አፈፃፀም (RCE) አደጋን ይፈጥራል።
WordPress 5.8.3 እነዚህን ድክመቶች ያስተካክላል። መታጠፍ አስቸኳይ ምክር ነው። በዩኤስ ብሄራዊ የተጋላጭነት ዳታቤዝ መሰረት፣ ተጋላጭነቶቹ ወሳኝ ናቸው።
ጠቃሚ ምክር: Log4Shell - ከዚህ በፊት ታይቶ የማይታወቅ ተጽእኖ, ለሶፍትዌር ገንቢዎች ከባድ ትምህርቶች
ምክንያት
በ2021 መገባደጃ ላይ፣ የዎርድፕረስ ገንቢዎች ከባድ የስራ ጫና ገጥሟቸዋል። ቡድኑ የመድረክን ቀጣይ ዋና ልቀት (5.9) በዲሴምበር 2021 ለመልቀቅ ተስፋ አድርጓል። እቅዱ ከእውነታው የራቀ ሆነ። 5.9 ወደ ጥር 25 ቀን 2022 ተላልፏል።
ከክፍት ምንጭ መድረክ አዘጋጆች አንዱ የሆነው አዲሰን ስታቭሎ የ5.9 ልማት ሂደቱን “ቀይ ባንዲራ” እና “በአደገኛ ሁኔታ የተጣደፈ” በማለት ገልጿል። የፍለጋ ሞተር ጆርናል፣ የመስመር ላይ ሚዲያ፣ ተጋላጭነቶቹን በበለጠ ቦታ እና ለደህንነት ትኩረት በመስጠት መከላከል ይቻል እንደነበር ይገምታል። ያ ዋጋ ያለው ዋና ነገር አለው, ነገር ግን የሥራ ጫና ጊዜያዊ ነው. ድክመቶቹ ከ 2013 ጀምሮ ነበሩ.