WordPress wprowadza poprawkę awaryjną na cztery poważne luki w zabezpieczeniach. WordPress 5.8.3 jest dostępny od zaraz.
WP_Meta_Query i WP_Query, dwie kluczowe i szeroko stosowane klasy w systemie zarządzania treścią, okazały się podatne na ataki typu SQL injection. Ataki XSS były możliwe dzięki post slugs (unikalna nazwa stron w adresach URL). Niektóre witryny WordPress były również podatne na wstrzykiwanie obiektów PHP. To ostatnie stwarza ryzyko zdalnego wykonania kodu (RCE).
WordPress 5.8.3 naprawia te luki. Łatanie to pilna rada. Według amerykańskiej National Vulnerability Database luki są krytyczne.
Wskazówka: Log4Shell – bezprecedensowy wpływ, trudne lekcje dla programistów
Spowodować
Pod koniec 2021 roku programiści WordPressa stanęli w obliczu dużego obciążenia pracą. Zespół miał nadzieję, że kolejne główne wydanie platformy (5.9) zostanie wydane w grudniu 2021 roku. Plan okazał się nierealny. 5.9 został przełożony na 25 stycznia 2022 r.
Addison Stavlo, jeden z twórców platformy open-source, opisał proces rozwoju wersji 5.9 jako „czerwoną flagę” i „niebezpiecznie pospieszny”. Search Engine Journal, internetowe medium, spekuluje, że lukom można było zapobiec, poświęcając więcej miejsca i poświęcając uwagę bezpieczeństwu. Ma to rdzeń wartości, ale presja w pracy jest tymczasowa. Luki istnieją od 2013 roku.