WordPress představuje nouzovou opravu pro čtyři vážné chyby zabezpečení. WordPress 5.8.3 je k dispozici okamžitě.
Bylo zjištěno, že WP_Meta_Query a WP_Query, dvě klíčové a široce používané třídy v systému správy obsahu, jsou zranitelné vůči útokům SQL injection. XSS útoky byly umožněny post slugs (jedinečný název stránek v URL). Některé weby WordPress byly také náchylné k vkládání objektů PHP. Ten vytváří riziko vzdáleného spuštění kódu (RCE).
WordPress 5.8.3 opravuje tyto chyby zabezpečení. Záplatování je naléhavá rada. Podle americké národní databáze zranitelností jsou zranitelnosti kritické.
Tip: Log4Shell – nebývalý dopad, tvrdé lekce pro vývojáře softwaru
Způsobit
Na konci roku 2021 čelili vývojáři WordPress velkému pracovnímu vytížení. Tým doufal, že vydá další hlavní verzi platformy (5.9) v prosinci 2021. Plán se ukázal jako nereálný. 5.9 byl odložen na 25. ledna 2022.
Addison Stavlo, jeden z vývojářů platformy s otevřeným zdrojovým kódem, popsal proces vývoje 5.9 jako „červenou vlajku“ a „nebezpečně uspěchaný“. Online médium Search Engine Journal spekuluje, že zranitelnostem bylo možné předejít větším prostorem a pozorností k bezpečnosti. To má jádro hodnoty, ale pracovní tlak je dočasný. Zranitelnosti existují od roku 2013.