WordPress Menampal Empat Ancaman Serius Mendahului Versi 5.9

WordPress memperkenalkan tampung kecemasan untuk empat kelemahan yang serius. WordPress 5.8.3 tersedia serta-merta.

WP_Meta_Query dan WP_Query, dua kelas penting dan digunakan secara meluas dalam sistem pengurusan kandungan, didapati terdedah kepada serangan suntikan SQL. Serangan XSS telah dimungkinkan oleh slug siaran (nama unik halaman dalam URL). Beberapa tapak berbilang WordPress juga terdedah kepada suntikan objek PHP. Yang terakhir mewujudkan risiko pelaksanaan kod jauh (RCE).

WordPress 5.8.3 membetulkan kelemahan ini. Menampal adalah nasihat segera. Menurut Pangkalan Data Kerentanan Kebangsaan AS, kelemahan adalah kritikal.

Petua: Log4Shell – impak yang tidak pernah berlaku sebelum ini, pengajaran yang sukar untuk pembangun perisian

Punca

Pada penghujung tahun 2021, pembangun WordPress menghadapi beban kerja yang berat. Pasukan itu berharap untuk mengeluarkan keluaran utama platform seterusnya (5.9) pada Disember 2021. Rancangan itu ternyata tidak realistik. 5.9 telah ditangguhkan ke 25 Januari 2022.

Addison Stavlo, salah seorang pemaju platform sumber terbuka, menyifatkan proses pembangunan 5.9 sebagai "bendera merah" dan "tergesa-gesa berbahaya". Jurnal Enjin Carian, medium dalam talian, membuat spekulasi bahawa kelemahan itu boleh dicegah dengan lebih banyak ruang dan perhatian terhadap keselamatan. Itu mempunyai teras nilai, tetapi tekanan kerja adalah sementara. Kerentanan telah wujud sejak 2013.