WordPress introducerar en nödpatch för fyra allvarliga sårbarheter. WordPress 5.8.3 är tillgängligt omedelbart.
WP_Meta_Query och WP_Query, två avgörande och allmänt använda klasser i innehållshanteringssystemet, visade sig vara sårbara för SQL-injektionsattacker. XSS-attacker möjliggjordes av post-slugs (det unika namnet på sidor i webbadresser). Vissa WordPress-multisites var också benägna att använda PHP-objektinjektion. Det senare skapar en risk för fjärrkodexekvering (RCE).
WordPress 5.8.3 fixar dessa sårbarheter. Patchning är det brådskande rådet. Enligt US National Vulnerability Database är sårbarheterna kritiska.
Tips: Log4Shell – oöverträffad effekt, hårda lektioner för mjukvaruutvecklare
Orsak
I slutet av 2021 stod WordPress-utvecklare inför en stor arbetsbörda. Teamet hoppades att släppa plattformens nästa stora release (5.9) i december 2021. Planen visade sig vara orealistisk. 5.9 har skjutits upp till den 25 januari 2022.
Addison Stavlo, en av utvecklarna av open source-plattformen, beskrev 5.9-utvecklingsprocessen som "röd flagga" och "farligt rusad". Search Engine Journal, ett onlinemedium, spekulerar i att sårbarheterna kunde ha förhindrats med mer utrymme och uppmärksamhet på säkerhet. Det har en kärna av värde, men arbetspressen är tillfällig. Sårbarheterna har funnits sedan 2013.