WordPress introduce una patch di emergenza per quattro gravi vulnerabilità. WordPress 5.8.3 è immediatamente disponibile.
WP_Meta_Query e WP_Query, due classi cruciali e ampiamente utilizzate nel sistema di gestione dei contenuti, sono risultate vulnerabili agli attacchi di SQL injection. Gli attacchi XSS sono stati resi possibili dai post slug (il nome univoco delle pagine negli URL). Alcuni multisiti WordPress erano anche inclini all'iniezione di oggetti PHP. Quest'ultimo crea un rischio di esecuzione di codice remoto (RCE).
WordPress 5.8.3 risolve queste vulnerabilità. Il patching è il consiglio urgente. Secondo il National Vulnerability Database degli Stati Uniti, le vulnerabilità sono critiche.
Suggerimento: Log4Shell: impatto senza precedenti, lezioni difficili per gli sviluppatori di software
Causare
Alla fine del 2021, gli sviluppatori di WordPress hanno dovuto affrontare un carico di lavoro pesante. Il team sperava di rilasciare la prossima major release della piattaforma (5.9) nel dicembre 2021. Il piano si è rivelato irrealistico. 5.9 è stato posticipato al 25 gennaio 2022.
Addison Stavlo, uno degli sviluppatori della piattaforma open source, ha descritto il processo di sviluppo 5.9 come "bandiera rossa" e "pericolosamente affrettato". Search Engine Journal, un mezzo online, ipotizza che le vulnerabilità avrebbero potuto essere prevenute con più spazio e attenzione alla sicurezza. Questo ha un valore fondamentale, ma la pressione del lavoro è temporanea. Le vulnerabilità esistono dal 2013.