WordPress patcht vier serieuze bedreigingen eerder dan versie 5.9

WordPress introduceert noodpatch voor vier ernstige kwetsbaarheden. WordPress 5.8.3 is per direct beschikbaar.

WP_Meta_Query en WP_Query, twee cruciale en veelgebruikte klassen in het contentmanagementsysteem, bleken kwetsbaar te zijn voor SQL-injectie-aanvallen. XSS-aanvallen zijn mogelijk gemaakt door post-slugs (de unieke naam van pagina's in URL's). Sommige WordPress-multisites waren ook gevoelig voor injectie van PHP-objecten. Dit laatste creëert een risico op uitvoering van externe code (RCE).

WordPress 5.8.3 lost deze kwetsbaarheden op. Patchen is het dringende advies. Volgens de Amerikaanse National Vulnerability Database:, de kwetsbaarheden zijn kritiek.

Tip: Log4Shell – ongekende impact, harde lessen voor softwareontwikkelaars

Oorzaak

Aan het einde van 2021, WordPress-ontwikkelaars hadden te maken met een zware werkdruk. Het team hoopte de volgende grote release van het platform uit te brengen (5.9) in december 2021. Het plan bleek onrealistisch. 5.9 is uitgesteld tot januari 25, 2022.

Addison Stavlo, een van de ontwikkelaars van het open-sourceplatform, beschreef de 5.9 ontwikkelingsproces als “rode vlag” en “gevaarlijk gehaast”. Zoekmachine Journaal, een online medium, speculeert dat de kwetsbaarheden voorkomen hadden kunnen worden met meer ruimte en aandacht voor beveiliging. Dat heeft een kern van waarde, maar werkdruk is tijdelijk. De kwetsbaarheden zijn er al sinds 2013.