O WordPress apresenta um patch de emergência para quatro vulnerabilidades graves. O WordPress 5.8.3 está disponível imediatamente.
WP_Meta_Query e WP_Query, duas classes cruciais e amplamente utilizadas no sistema de gerenciamento de conteúdo, foram consideradas vulneráveis a ataques de injeção de SQL. Os ataques XSS foram possibilitados por slugs de postagem (o nome exclusivo das páginas em URLs). Alguns multisites do WordPress também eram propensos à injeção de objetos PHP. Este último cria um risco de execução remota de código (RCE).
O WordPress 5.8.3 corrige essas vulnerabilidades. Patching é o conselho urgente. De acordo com o Banco de Dados Nacional de Vulnerabilidades dos EUA, as vulnerabilidades são críticas.
Dica: Log4Shell – impacto sem precedentes, lições difíceis para desenvolvedores de software
Causar
No final de 2021, os desenvolvedores do WordPress enfrentaram uma carga de trabalho pesada. A equipe esperava lançar o próximo grande lançamento da plataforma (5.9) em dezembro de 2021. O plano acabou sendo irreal. 5.9 foi adiado para 25 de janeiro de 2022.
Addison Stavlo, um dos desenvolvedores da plataforma de código aberto, descreveu o processo de desenvolvimento 5.9 como “bandeira vermelha” e “perigosamente apressado”. O Search Engine Journal, um meio online, especula que as vulnerabilidades poderiam ter sido evitadas com mais espaço e atenção à segurança. Isso tem um núcleo de valor, mas a pressão do trabalho é temporária. As vulnerabilidades existem desde 2013.