WordPress tutvustab nelja tõsise haavatavuse jaoks hädaabipaika. WordPress 5.8.3 on kohe saadaval.
WP_Meta_Query ja WP_Query, sisuhaldussüsteemi kaks üliolulist ja laialdaselt kasutatavat klassi, leiti olevat SQL-i süstimisrünnete suhtes haavatavad. XSS-i rünnakud said võimalikuks tänu postinälkjatele (URL-ides leiduvate lehtede ainulaadne nimi). Mõned WordPressi multisaidid olid samuti altid PHP objektide süstimisele. Viimane tekitab koodi kaugkäivitamise (RCE) ohu.
WordPress 5.8.3 parandab need haavatavused. Patsimine on kiireloomuline nõuanne. USA riikliku haavatavuse andmebaasi andmetel on haavatavused kriitilised.
Näpunäide: Log4Shell – enneolematu mõju, rasked õppetunnid tarkvaraarendajatele
Põhjus
2021. aasta lõpus seisid WordPressi arendajad silmitsi suure töökoormusega. Meeskond lootis platvormi järgmise suurema väljalaske (5.9) välja anda detsembris 2021. Plaan osutus ebareaalseks. 5.9 on edasi lükatud 25.
Addison Stavlo, üks avatud lähtekoodiga platvormi arendajatest, kirjeldas 5.9 arendusprotsessi kui "punast lippu" ja "ohtlikult kiirustavat". Interneti-meedium Search Engine Journal oletab, et turvaauke oleks saanud ennetada, kui oleks rohkem ruumi ja tähelepanu pööratud turvalisusele. Sellel on põhiväärtus, kuid tööpinge on ajutine. Haavatavused on olnud olemas alates 2013. aastast.