WordPress introduit un correctif d'urgence pour quatre vulnérabilités graves. WordPress 5.8.3 est disponible immédiatement.
WP_Meta_Query et WP_Query, deux classes cruciales et largement utilisées dans le système de gestion de contenu, se sont révélées vulnérables aux attaques par injection SQL. Les attaques XSS ont été rendues possibles par les post-slugs (le nom unique des pages dans les URL). Certains multisites WordPress étaient également sujets à l'injection d'objet PHP. Ce dernier crée un risque d'exécution de code à distance (RCE).
WordPress 5.8.3 corrige ces vulnérabilités. Patching est le conseil urgent. Selon la US National Vulnerability Database, les vulnérabilités sont critiques.
Astuce : Log4Shell – impact sans précédent, dures leçons pour les développeurs de logiciels
Causes
Fin 2021, les développeurs WordPress faisaient face à une lourde charge de travail. L'équipe espérait publier la prochaine version majeure de la plateforme (5.9) en décembre 2021. Le plan s'est avéré irréaliste. 5.9 a été reporté au 25 janvier 2022.
Addison Stavlo, l'un des développeurs de la plate-forme open-source, a décrit le processus de développement 5.9 comme "drapeau rouge" et "dangereusement précipité". Search Engine Journal, un média en ligne, spécule que les vulnérabilités auraient pu être évitées avec plus d'espace et d'attention à la sécurité. Cela a une valeur fondamentale, mais la pression du travail est temporaire. Les vulnérabilités existent depuis 2013.