WordPress giới thiệu bản vá khẩn cấp cho bốn lỗ hổng nghiêm trọng WordPress 5.8.3 có sẵn ngay lập tức.
WP_Meta_Query và WP_Query, hai lớp quan trọng và được sử dụng rộng rãi trong hệ thống quản lý nội dung, được phát hiện là dễ bị tấn công bởi SQL SQL. Các cuộc tấn công XSS có thể được thực hiện bằng các post slug (tên duy nhất của các trang trong URL). Một số trang web nhiều trang WordPress cũng dễ bị chèn đối tượng PHP. Điều sau tạo ra rủi ro thực thi mã từ xa (RCE).
WordPress 5.8.3 sửa các lỗ hổng này. Vá là lời khuyên khẩn cấp. Theo Cơ sở dữ liệu về lỗ hổng bảo mật quốc gia của Hoa Kỳ, các lỗ hổng này rất nghiêm trọng.
Mẹo: Log4Shell – tác động chưa từng có, bài học đắt giá cho nhà phát triển phần mềm
Nguyên nhân
Vào cuối năm 2021, các nhà phát triển WordPress phải đối mặt với khối lượng công việc nặng nề. Nhóm hy vọng sẽ phát hành bản phát hành chính tiếp theo của nền tảng (5.9) vào tháng 2021 năm 5.9. Kế hoạch này hóa ra là phi thực tế. 25 đã bị hoãn lại đến ngày 2022 tháng XNUMX năm XNUMX.
Addison Stavlo, một trong những nhà phát triển nền tảng nguồn mở, đã mô tả quá trình phát triển 5.9 là “cờ đỏ” và “gấp rút một cách nguy hiểm”. Search Engine Journal, một phương tiện trực tuyến, suy đoán rằng các lỗ hổng có thể đã được ngăn chặn nếu có nhiều không gian và sự chú ý hơn đến bảo mật. Đó là giá trị cốt lõi nhưng áp lực công việc chỉ là tạm thời. Các lỗ hổng đã xuất hiện từ năm 2013.