WordPress introduserer en nødoppdatering for fire alvorlige sårbarheter. WordPress 5.8.3 er tilgjengelig umiddelbart.
WP_Meta_Query og WP_Query, to viktige og mye brukte klasser i innholdsstyringssystemet, ble funnet å være sårbare for SQL-injeksjonsangrep. XSS-angrep ble muliggjort av post-slugs (det unike navnet på sider i URL-er). Noen WordPress multisites var også utsatt for PHP-objektinjeksjon. Sistnevnte skaper en risiko for ekstern kjøring av kode (RCE).
WordPress 5.8.3 fikser disse sårbarhetene. Patching er det presserende rådet. I følge US National Vulnerability Database er sårbarhetene kritiske.
Tips: Log4Shell – enestående innvirkning, harde leksjoner for programvareutviklere
Årsak
På slutten av 2021 møtte WordPress-utviklere en stor arbeidsbelastning. Teamet håpet å slippe plattformens neste store utgivelse (5.9) i desember 2021. Planen viste seg å være urealistisk. 5.9 er utsatt til 25. januar 2022.
Addison Stavlo, en av utviklerne av åpen kildekode-plattformen, beskrev 5.9-utviklingsprosessen som «rødt flagg» og «farlig hastet». Search Engine Journal, et nettbasert medium, spekulerer i at sårbarhetene kunne vært forhindret med mer plass og oppmerksomhet på sikkerhet. Det har en verdikjerne, men arbeidspresset er midlertidig. Sårbarhetene har eksistert siden 2013.