WordPress introduceert een noodpatch voor vier ernstige kwetsbaarheden. WordPress 5.8.3 is per direct beschikbaar.
WP_Meta_Query en WP_Query, twee cruciale en veelgebruikte klassen in het contentmanagementsysteem, bleken kwetsbaar te zijn voor SQL-injectieaanvallen. XSS-aanvallen werden mogelijk gemaakt door post slugs (de unieke naam van pagina's in URL's). Sommige WordPress-multisites waren ook gevoelig voor PHP-objectinjectie. Dit laatste creëert een risico van uitvoering van externe code (RCE).
WordPress 5.8.3 lost deze kwetsbaarheden op. Patchen is het dringende advies. Volgens de Amerikaanse National Vulnerability Database zijn de kwetsbaarheden van cruciaal belang.
Tip: Log4Shell – ongekende impact, harde lessen voor softwareontwikkelaars
Veroorzaken
Eind 2021 stonden WordPress-ontwikkelaars voor een zware werkdruk. Het team hoopte de volgende grote release van het platform (5.9) in december 2021 uit te brengen. Het plan bleek onrealistisch. 5.9 is uitgesteld naar 25 januari 2022.
Addison Stavlo, een van de ontwikkelaars van het open-sourceplatform, beschreef het 5.9-ontwikkelingsproces als "rode vlag" en "gevaarlijk gehaast". Search Engine Journal, een online medium, speculeert dat de kwetsbaarheden voorkomen hadden kunnen worden met meer ruimte en aandacht voor beveiliging. Dat heeft een kern van waarde, maar de werkdruk is tijdelijk. De kwetsbaarheden bestaan al sinds 2013.