WordPress korjaa neljä vakavaa uhkaa ennen versiota 5.9

WordPress esittelee hätäkorjauksen neljään vakavaan haavoittuvuuteen. WordPress 5.8.3 on saatavilla heti.

WP_Meta_Query ja WP_Query, kaksi keskeistä ja laajasti käytettyä luokkaa sisällönhallintajärjestelmässä, havaittiin olevan alttiina SQL-injektiohyökkäyksille. XSS-hyökkäykset mahdollistivat post Slugs (URL-osoitteissa olevien sivujen yksilöllinen nimi). Jotkut WordPress-multisite-sivustot olivat myös alttiita PHP-objektien lisäykselle. Jälkimmäinen luo riskin koodin etäsuorituksesta (RCE).

WordPress 5.8.3 korjaa nämä haavoittuvuudet. Paikkaus on kiireellinen neuvo. Yhdysvaltain kansallisen haavoittuvuustietokannan mukaan haavoittuvuudet ovat kriittisiä.

Vinkki: Log4Shell – ennennäkemätön vaikutus, kovia oppitunteja ohjelmistokehittäjille

Aiheuttaa

Vuoden 2021 lopussa WordPress-kehittäjät kohtasivat raskaan työtaakan. Tiimi toivoi julkaisevansa alustan seuraavan suuren julkaisun (5.9) joulukuussa 2021. Suunnitelma osoittautui epärealistiseksi. 5.9 on siirretty 25.

Addison Stavlo, yksi avoimen lähdekoodin alustan kehittäjistä, kuvaili 5.9-kehitysprosessia "punaiseksi lipuksi" ja "vaarallisen kiireiseksi". Search Engine Journal, online-media, arvelee, että haavoittuvuudet olisi voitu estää lisäämällä tilaa ja kiinnittämällä huomiota turvallisuuteen. Sillä on ydinarvo, mutta työpaine on väliaikaista. Haavoittuvuudet ovat olleet olemassa vuodesta 2013 lähtien.