Ipinakilala ng WordPress ang isang emergency patch para sa apat na malubhang kahinaan. Available kaagad ang WordPress 5.8.3.
Ang WP_Meta_Query at WP_Query, dalawang mahalaga at malawakang ginagamit na mga klase sa sistema ng pamamahala ng nilalaman, ay natagpuang mahina sa mga pag-atake ng SQL injection. Ang mga pag-atake ng XSS ay ginawang posible sa pamamagitan ng mga post slug (ang natatanging pangalan ng mga pahina sa mga URL). Ang ilang mga WordPress multisite ay madaling kapitan ng PHP object injection. Ang huli ay lumilikha ng panganib ng remote code execution (RCE).
Inaayos ng WordPress 5.8.3 ang mga kahinaang ito. Patching ay ang kagyat na payo. Ayon sa US National Vulnerability Database, ang mga kahinaan ay kritikal.
Tip: Log4Shell – hindi pa nagagawang epekto, mahirap na mga aral para sa mga developer ng software
Maging sanhi
Sa pagtatapos ng 2021, nahaharap ang mga developer ng WordPress sa isang mabigat na workload. Inaasahan ng team na ilabas ang susunod na major release ng platform (5.9) noong Disyembre 2021. Ang plano ay naging hindi makatotohanan. Ang 5.9 ay ipinagpaliban sa Enero 25, 2022.
Inilarawan ni Addison Stavlo, isa sa mga nag-develop ng open-source platform, ang proseso ng pag-unlad ng 5.9 bilang "pulang bandila" at "mapanganib na nagmamadali". Ang Search Engine Journal, isang online na medium, ay nag-iisip na ang mga kahinaan ay maaaring napigilan nang may higit na espasyo at atensyon sa seguridad. Iyon ay may pangunahing halaga, ngunit ang presyon sa trabaho ay pansamantala. Ang mga kahinaan ay nasa paligid mula noong 2013.