WordPress patcht vier ernsthafte Bedrohungen vor der Version 5.9

WordPress führt einen Notfall-Patch für vier schwerwiegende Sicherheitslücken ein. WordPress 5.8.3 ist sofort verfügbar.

WP_Meta_Query und WP_Query, zwei wichtige und weit verbreitete Klassen im Content Management System, erwiesen sich als anfällig für SQL-Injection-Angriffe. XSS-Angriffe wurden durch Post-Slugs ermöglicht (der eindeutige Name von Seiten in URLs). Einige WordPress-Multisites waren auch anfällig für PHP-Objektinjektion. Letzteres birgt das Risiko der Remotecodeausführung (RCE).

WordPress 5.8.3 behebt diese Schwachstellen. Patchen ist der dringendste Rat. Laut der US National Vulnerability Database, die Schwachstellen sind kritisch.

Spitze: Log4Shell – beispiellose Wirkung, harte Lektionen für Softwareentwickler

Weil

Am Ende von 2021, WordPress-Entwickler sahen sich einer hohen Arbeitsbelastung gegenüber. Das Team hoffte, die nächste Hauptversion der Plattform veröffentlichen zu können (5.9) Im Dezember 2021. Der Plan erwies sich als unrealistisch. 5.9 wurde auf Januar verschoben 25, 2022.

Addison Stavlo, einer der Entwickler der Open-Source-Plattform, beschrieb die 5.9 Entwicklungsprozess als “rote Flagge” und “gefährlich gehetzt”. Suchmaschinen-Journal, ein Online-Medium, spekuliert, dass die Schwachstellen mit mehr Platz und Aufmerksamkeit für die Sicherheit hätten verhindert werden können. Das hat einen Kernwert, aber Arbeitsdruck ist vorübergehend. Die Schwachstellen gibt es seit 2013.