WordPress presenta un parche de emergencia para cuatro vulnerabilidades graves. WordPress 5.8.3 está disponible de inmediato.
Se descubrió que WP_Meta_Query y WP_Query, dos clases cruciales y ampliamente utilizadas en el sistema de administración de contenido, son vulnerables a los ataques de inyección SQL. Los ataques XSS fueron posibles gracias a los slugs de publicación (el nombre único de las páginas en las URL). Algunos sitios múltiples de WordPress también eran propensos a la inyección de objetos PHP. Este último crea un riesgo de ejecución remota de código (RCE).
WordPress 5.8.3 corrige estas vulnerabilidades. Parchar es el consejo urgente. Según la base de datos nacional de vulnerabilidades de EE. UU., las vulnerabilidades son críticas.
Consejo: Log4Shell: impacto sin precedentes, lecciones duras para los desarrolladores de software
Causar
A fines de 2021, los desarrolladores de WordPress enfrentaron una gran carga de trabajo. El equipo esperaba lanzar la próxima versión importante de la plataforma (5.9) en diciembre de 2021. El plan resultó ser poco realista. 5.9 se pospuso hasta el 25 de enero de 2022.
Addison Stavlo, uno de los desarrolladores de la plataforma de código abierto, describió el proceso de desarrollo de 5.9 como una "bandera roja" y "peligrosamente acelerado". Search Engine Journal, un medio en línea, especula que las vulnerabilidades podrían haberse evitado con más espacio y atención a la seguridad. Eso tiene un núcleo de valor, pero la presión laboral es temporal. Las vulnerabilidades existen desde 2013.