WordPress patcht vier ernsthafte Bedrohungen vor Version 5.9

WordPress führt einen Notfall-Patch für vier schwerwiegende Sicherheitslücken ein. WordPress 5.8.3 ist ab sofort verfügbar.

WP_Meta_Query und WP_Query, zwei wichtige und weit verbreitete Klassen im Content-Management-System, erwiesen sich als anfällig für SQL-Injection-Angriffe. XSS-Angriffe wurden durch Post-Slugs (die eindeutigen Namen von Seiten in URLs) ermöglicht. Einige WordPress-Multisites waren auch anfällig für PHP-Objektinjektion. Letzteres birgt das Risiko der Remote Code Execution (RCE).

WordPress 5.8.3 behebt diese Schwachstellen. Patchen ist der dringende Rat. Laut der US National Vulnerability Database handelt es sich um kritische Schwachstellen.

Tipp: Log4Shell – beispiellose Wirkung, harte Lektionen für Softwareentwickler

Verursachen

Ende 2021 standen WordPress-Entwickler vor einer großen Arbeitsbelastung. Das Team hoffte, die nächste Hauptversion der Plattform (5.9) im Dezember 2021 veröffentlichen zu können. Der Plan stellte sich als unrealistisch heraus. 5.9 wurde auf den 25. Januar 2022 verschoben.

Addison Stavlo, einer der Entwickler der Open-Source-Plattform, bezeichnete den Entwicklungsprozess von 5.9 als „red flag“ und „gefährlich übereilt“. Das Online-Medium Search Engine Journal spekuliert, dass die Schwachstellen mit mehr Platz und Aufmerksamkeit für die Sicherheit hätten verhindert werden können. Das hat einen Wertkern, aber der Arbeitsdruck ist vorübergehend. Die Schwachstellen gibt es seit 2013.