WordPress-ը ներկայացնում է չորս լուրջ խոցելիության վթարային պատչ: WordPress 5.8.3-ը հասանելի է անմիջապես:
Պարզվել է, որ WP_Meta_Query և WP_Query երկու կարևոր և լայնորեն օգտագործվող դասերը բովանդակության կառավարման համակարգում խոցելի են SQL ներարկման հարձակումների նկատմամբ: XSS-ի հարձակումները հնարավոր են դարձել post slugs-ի միջոցով (URL-ներում էջերի եզակի անվանումը): WordPress-ի որոշ բազմաբնույթ կայքեր նույնպես հակված էին PHP օբյեկտի ներարկման: Վերջինս ստեղծում է կոդի հեռակա կատարման (RCE) ռիսկ։
WordPress 5.8.3-ն ուղղում է այս խոցելիությունը: Կարկատելը հրատապ խորհուրդն է։ Ըստ ԱՄՆ-ի խոցելիության ազգային տվյալների բազայի, խոցելիությունը կրիտիկական է:
Հուշում. Log4Shell – աննախադեպ ազդեցություն, ծանր դասեր ծրագրային ապահովման մշակողների համար
Առաջացնել
2021-ի վերջին WordPress-ի ծրագրավորողները բախվեցին ծանր աշխատանքի: Թիմը հույս ուներ պլատֆորմի հաջորդ հիմնական թողարկումը (5.9) թողարկել 2021 թվականի դեկտեմբերին: Պլանը պարզվեց, որ անիրատեսական էր: 5.9-ը հետաձգվել է 25 թվականի հունվարի 2022-ին։
Ադիսոն Ստավլոն՝ բաց կոդով պլատֆորմի մշակողներից մեկը, 5.9-ի մշակման գործընթացը նկարագրել է որպես «կարմիր դրոշ» և «վտանգավոր շտապել»։ Search Engine Journal-ը, առցանց միջոցը, ենթադրում է, որ խոցելիությունները կարելի էր կանխել՝ եթե ավելի շատ տարածք և ուշադրություն դարձնենք անվտանգությանը: Դա արժեքային հիմք ունի, բայց աշխատանքային ճնշումը ժամանակավոր է: Խոցելիությունները եղել են 2013 թվականից: