Mae WordPress yn cyflwyno darn brys ar gyfer pedwar bregusrwydd difrifol. Mae WordPress 5.8.3 ar gael ar unwaith.
Canfuwyd bod WP_Meta_Query a WP_Query, dau ddosbarth hanfodol a ddefnyddir yn eang yn y system rheoli cynnwys, yn agored i ymosodiadau pigiad SQL. Gwnaethpwyd ymosodiadau XSS yn bosibl gan wlithod post (enw unigryw tudalennau mewn URLs). Roedd rhai aml-safleoedd WordPress hefyd yn dueddol o gael pigiad gwrthrych PHP. Mae'r olaf yn creu risg o weithredu cod o bell (RCE).
Mae WordPress 5.8.3 yn trwsio'r gwendidau hyn. Clytio yw'r cyngor brys. Yn ôl Cronfa Ddata Agored i Niwed Cenedlaethol yr Unol Daleithiau, mae'r gwendidau yn hollbwysig.
Awgrym: Log4Shell – effaith ddigynsail, gwersi caled i ddatblygwyr meddalwedd
Achos
Ar ddiwedd 2021, roedd datblygwyr WordPress yn wynebu llwyth gwaith trwm. Roedd y tîm yn gobeithio rhyddhau datganiad mawr nesaf y platfform (5.9) ym mis Rhagfyr 2021. Trodd y cynllun yn afrealistig. Mae 5.9 wedi’i ohirio tan Ionawr 25, 2022.
Disgrifiodd Addison Stavlo, un o ddatblygwyr y platfform ffynhonnell agored, y broses ddatblygu 5.9 fel “baner goch” ac “wedi’i rhuthro’n beryglus”. Mae Search Engine Journal, cyfrwng ar-lein, yn dyfalu y gellid bod wedi atal y gwendidau gyda mwy o le a sylw i ddiogelwch. Mae gan hynny graidd o werth, ond dros dro yw pwysau gwaith. Mae'r gwendidau wedi bod o gwmpas ers 2013.