WordPress patcht vier ernstige bedreigingen in aanloop op versie 5.9

Abonneer je gratis op Techzine!

WordPress introduceert een spoedpatch voor vier ernstige kwetsbaarheden. WordPress 5.8.3 is per direct beschikbaar.

WP_Meta_Query en WP_Query, twee cruciale en veel gebruikte classes in het content management systeem, bleken kwetsbaar voor SQL-injectieaanvallen. XSS-aanvallen werden mogelijk gemaakt door post slugs (de unieke naam van pagina’s in url’s). Sommige WordPress multisites waren ook vatbaar voor PHP object injection. Het laatste creëert een risico op remote code execution (RCE).

WordPress 5.8.3 lost deze kwetsbaarheden op. Patchen is het urgente advies. Volgens de US National Vulnerability Database zijn de kwetsbaarheden kritiek.

Tip: Log4Shell – ongekende impact, harde lessen voor software-ontwikkelaars

De oorzaak

Aan het einde van 2021 kampten de developers van WordPress met een zware werkdruk. Het team hoopte de eerstvolgende grote release van het platform (5.9) in december 2021 uit te brengen. De planning bleek onrealistisch. 5.9 is uitgesteld tot 25 januari 2022.

Addison Stavlo, een van de ontwikkelaars van het open-source platform, beschreef het ontwikkelingsproces van 5.9 als “red flag” en “gevaarlijk gehaast”. Search Engine Journal, een online medium, speculeert dat de kwetsbaarheden voorkomen hadden kunnen worden met meer ruimte en aandacht voor security. Dat heeft een kern van waarde, maar werkdruk is tijdelijk. De kwetsbaarheden komen al sinds 2013 voor.