WordPress izlabo četrus nopietnus draudus pirms versijas 5.9

WordPress ievieš ārkārtas ielāpu četrām nopietnām ievainojamībām. WordPress 5.8.3 ir pieejams nekavējoties.

Tika konstatēts, ka WP_Meta_Query un WP_Query, divas būtiskas un plaši izmantotas klases satura pārvaldības sistēmā, ir neaizsargātas pret SQL injekcijas uzbrukumiem. XSS uzbrukumus padarīja iespējamus pasta lodes (unikālais lapu nosaukums vietrāžos URL). Dažas WordPress daudzvietnes arī bija pakļautas PHP objektu ievadīšanai. Pēdējais rada attālinātas koda izpildes (RCE) risku.

WordPress 5.8.3 novērš šīs ievainojamības. Lāpīšana ir steidzams padoms. Saskaņā ar ASV Nacionālās ievainojamības datubāzes datiem ievainojamības ir kritiskas.

Padoms: Log4Shell – bezprecedenta ietekme, smagas mācības programmatūras izstrādātājiem

Izraisīt

2021. gada beigās WordPress izstrādātāji saskārās ar lielu darba slodzi. Komanda cerēja 5.9. gada decembrī izlaist nākamo platformas lielo versiju (2021). Plāns izrādījās nereāls. 5.9 ir pārcelts uz 25.gada 2022.janvāri.

Addisons Stavlo, viens no atvērtā pirmkoda platformas izstrādātājiem, 5.9 izstrādes procesu raksturoja kā “sarkano karogu” un “bīstami steidzīgu”. Tiešsaistes medijs Search Engine Journal spekulē, ka ievainojamības varēja novērst, ja būtu vairāk vietas un pievēršot uzmanību drošībai. Tam ir galvenā vērtība, taču darba spiediens ir īslaicīgs. Ievainojamības ir bijušas kopš 2013. gada.