WordPress introdueix un pedaç d'emergència per a quatre vulnerabilitats greus. WordPress 5.8.3 està disponible immediatament.
Es va trobar que WP_Meta_Query i WP_Query, dues classes crucials i àmpliament utilitzades en el sistema de gestió de continguts, eren vulnerables als atacs d'injecció SQL. Els atacs XSS van ser possibles gràcies als post slugs (el nom únic de les pàgines a les URL). Alguns multillocs de WordPress també eren propensos a la injecció d'objectes PHP. Això últim crea un risc d'execució de codi remota (RCE).
WordPress 5.8.3 soluciona aquestes vulnerabilitats. El pedaç és el consell urgent. Segons la National Vulnerability Database dels EUA, les vulnerabilitats són crítiques.
Consell: Log4Shell: impacte sense precedents, lliçons dures per als desenvolupadors de programari
Causar
A finals del 2021, els desenvolupadors de WordPress es van enfrontar a una gran càrrega de treball. L'equip esperava llançar el proper llançament important de la plataforma (5.9) el desembre de 2021. El pla va resultar ser poc realista. 5.9 s'ha ajornat al 25 de gener de 2022.
Addison Stavlo, un dels desenvolupadors de la plataforma de codi obert, va descriure el procés de desenvolupament 5.9 com a "bandera vermella" i "perillosament precipitat". Search Engine Journal, un mitjà en línia, especula que les vulnerabilitats es podrien haver evitat amb més espai i atenció a la seguretat. Això té un nucli de valor, però la pressió laboral és temporal. Les vulnerabilitats existeixen des del 2013.