Το WordPress εισάγει μια ενημέρωση κώδικα έκτακτης ανάγκης για τέσσερις σοβαρές ευπάθειες. Το WordPress 5.8.3 είναι άμεσα διαθέσιμο.
Οι WP_Meta_Query και WP_Query, δύο κρίσιμες και ευρέως χρησιμοποιούμενες κλάσεις στο σύστημα διαχείρισης περιεχομένου, βρέθηκαν ευάλωτες σε επιθέσεις SQL injection. Οι επιθέσεις XSS έγιναν δυνατές από post slugs (το μοναδικό όνομα των σελίδων στα URL). Ορισμένοι πολλοί ιστότοποι WordPress ήταν επίσης επιρρεπείς σε ένεση αντικειμένων PHP. Το τελευταίο δημιουργεί κίνδυνο απομακρυσμένης εκτέλεσης κώδικα (RCE).
Το WordPress 5.8.3 διορθώνει αυτά τα τρωτά σημεία. Το μπάλωμα είναι η επείγουσα συμβουλή. Σύμφωνα με την Εθνική βάση δεδομένων ευπάθειας των ΗΠΑ, τα τρωτά σημεία είναι κρίσιμα.
Συμβουλή: Log4Shell – άνευ προηγουμένου αντίκτυπο, σκληρά μαθήματα για προγραμματιστές λογισμικού
Αιτία
Στα τέλη του 2021, οι προγραμματιστές του WordPress αντιμετώπισαν μεγάλο φόρτο εργασίας. Η ομάδα ήλπιζε να κυκλοφορήσει την επόμενη μεγάλη κυκλοφορία της πλατφόρμας (5.9) τον Δεκέμβριο του 2021. Το σχέδιο αποδείχθηκε ότι δεν ήταν ρεαλιστικό. 5.9 έχει αναβληθεί για τις 25 Ιανουαρίου 2022.
Ο Addison Stavlo, ένας από τους προγραμματιστές της πλατφόρμας ανοιχτού κώδικα, περιέγραψε τη διαδικασία ανάπτυξης του 5.9 ως «κόκκινη σημαία» και «επικίνδυνα βιαστική». Το Search Engine Journal, ένα διαδικτυακό μέσο, εικάζει ότι τα τρωτά σημεία θα μπορούσαν να είχαν αποφευχθεί με περισσότερο χώρο και προσοχή στην ασφάλεια. Αυτό έχει έναν πυρήνα αξίας, αλλά η εργασιακή πίεση είναι προσωρινή. Τα τρωτά σημεία υπάρχουν από το 2013.