WordPress corrige quatre menaces sérieuses avant la version 5.9

WordPress introduit un correctif d'urgence pour quatre vulnérabilités graves. WordPress 5.8.3 est disponible immédiatement.

WP_Meta_Query et WP_Query, deux classes cruciales et largement utilisées dans le système de gestion de contenu, se sont avérés vulnérables aux attaques par injection SQL. Les attaques XSS ont été rendues possibles par les post-slugs (le nom unique des pages dans les URL). Certains multisites WordPress étaient également sujets à l'injection d'objets PHP. Ce dernier crée un risque d'exécution de code à distance (CER).

WordPress 5.8.3 corrige ces vulnérabilités. Le patch est le conseil urgent. Selon la base de données nationale de vulnérabilité des États-Unis, les vulnérabilités sont critiques.

Pointe: Log4Shell – impact sans précédent, leçons difficiles pour les développeurs de logiciels

Cause

Au bout du 2021, Les développeurs WordPress ont fait face à une lourde charge de travail. L'équipe espérait publier la prochaine version majeure de la plate-forme (5.9) en décembre 2021. Le plan s'est avéré irréaliste. 5.9 a été reporté à janvier 25, 2022.

Addison Stavlo, l'un des développeurs de la plateforme open source, décrit le 5.9 processus de développement en tant que “drapeau rouge” et “dangereusement précipité”. Journal des moteurs de recherche, un support en ligne, spécule que les vulnérabilités auraient pu être évitées avec plus d'espace et d'attention à la sécurité. Qui a un noyau de valeur, mais la pression au travail est temporaire. Les vulnérabilités existent depuis 2013.