WordPress popravlja štiri resne grožnje pred različico 5.9

WordPress uvaja popravek v sili za štiri resne ranljivosti. WordPress 5.8.3 je na voljo takoj.

Ugotovljeno je bilo, da sta WP_Meta_Query in WP_Query, dva ključna in široko uporabljena razreda v sistemu za upravljanje vsebine, ranljiva za napade z injekcijo SQL. Napadi XSS so bili omogočeni z objavami (edinstveno ime strani v URL-jih). Nekatera večstranska mesta WordPress so bila tudi nagnjena k vbrizgavanju predmetov PHP. Slednje ustvarja tveganje za oddaljeno izvajanje kode (RCE).

WordPress 5.8.3 odpravlja te ranljivosti. Popravek je nujen nasvet. Po podatkih ameriške nacionalne zbirke podatkov o ranljivostih so ranljivosti kritične.

Nasvet: Log4Shell – učinek brez primere, težke lekcije za razvijalce programske opreme

Vzrok

Konec leta 2021 so se razvijalci WordPressa soočili z veliko delovno obremenitvijo. Ekipa je upala, da bo naslednjo večjo izdajo platforme (5.9) izdala decembra 2021. Načrt se je izkazal za nerealističen. 5.9 je prestavljen na 25. januar 2022.

Addison Stavlo, eden od razvijalcev odprtokodne platforme, je razvojni proces 5.9 opisal kot »rdečo zastavo« in »nevarno hitenje«. Spletni medij Search Engine Journal domneva, da bi ranljivosti lahko preprečili z več prostora in pozornostjo k varnosti. To je bistvo vrednosti, vendar je delovni pritisk začasen. Ranljivosti obstajajo že od leta 2013.