WordPress въвежда спешна корекция за четири сериозни уязвимости. WordPress 5.8.3 е достъпен веднага.
Установено е, че WP_Meta_Query и WP_Query, два решаващи и широко използвани класа в системата за управление на съдържанието, са уязвими към атаки с инжектиране на SQL. XSS атаките са станали възможни чрез пулове за публикации (уникалното име на страниците в URL адресите). Някои мултисайтове на WordPress също бяха склонни към инжектиране на PHP обект. Последното създава риск от дистанционно изпълнение на код (RCE).
WordPress 5.8.3 коригира тези уязвимости. Кръпването е спешният съвет. Според Националната база данни за уязвимости на САЩ, уязвимостите са критични.
Съвет: Log4Shell – безпрецедентно въздействие, трудни уроци за разработчиците на софтуер
Причина
В края на 2021 г. разработчиците на WordPress се сблъскаха с голямо натоварване. Екипът се надяваше да пусне следващото голямо издание на платформата (5.9) през декември 2021 г. Планът се оказа нереалистичен. 5.9 е отложено за 25 януари 2022 г.
Адисън Ставло, един от разработчиците на платформата с отворен код, описа процеса на разработка на 5.9 като „червен флаг“ и „опасно прибързано“. Search Engine Journal, онлайн медия, спекулира, че уязвимостите биха могли да бъдат предотвратени с повече пространство и внимание към сигурността. Това има основна стойност, но работният натиск е временен. Уязвимостите съществуват от 2013 г.