WordPress introducerer en nødpatch til fire alvorlige sårbarheder. WordPress 5.8.3 er tilgængelig med det samme.
WP_Meta_Query og WP_Query, to afgørende og meget brugte klasser i indholdsstyringssystemet, blev fundet at være sårbare over for SQL-injektionsangreb. XSS-angreb blev muliggjort af post-slugs (det unikke navn på sider i URL'er). Nogle WordPress-multisites var også tilbøjelige til PHP-objektinjektion. Sidstnævnte skaber en risiko for fjernudførelse af kode (RCE).
WordPress 5.8.3 løser disse sårbarheder. Patching er det presserende råd. Ifølge US National Vulnerability Database er sårbarhederne kritiske.
Tip: Log4Shell – hidtil uset effekt, hårde lektioner for softwareudviklere
Årsag
I slutningen af 2021 stod WordPress-udviklere over for en stor arbejdsbyrde. Holdet håbede at frigive platformens næste store udgivelse (5.9) i december 2021. Planen viste sig at være urealistisk. 5.9 er blevet udskudt til den 25. januar 2022.
Addison Stavlo, en af udviklerne af open source-platformen, beskrev 5.9-udviklingsprocessen som "rødt flag" og "farligt forhastet". Search Engine Journal, et onlinemedie, spekulerer i, at sårbarhederne kunne have været forhindret med mere plads og opmærksomhed på sikkerhed. Det har en kerne af værdi, men arbejdspresset er midlertidigt. Sårbarhederne har eksisteret siden 2013.