Η ομάδα ανάπτυξης του WordPress κυκλοφόρησε την έκδοση 5.8.3, μια έκδοση ασφαλείας σύντομου κύκλου που αντιμετωπίζει τέσσερις ευπάθειες, τρεις από τις οποίες έχουν βαθμολογηθεί ως υψηλής σημασίας.
Δείτε επίσης: Η Netgear δεν έχει διορθώσει έξι ευπάθειες στο router Nighthawk
Το σετ των ευπαθειών περιλαμβάνει ένα SQL injection στο WP_Query, ένα τυφλό SQL injection μέσω του WP_Meta_Query, μια επίθεση XSS μέσω των post slugs και ένα admin object injection.
Όλα τα ζητήματα έχουν προϋποθέσεις για την εκμετάλλευσή τους και οι περισσότεροι ιστότοποι WordPress που χρησιμοποιούν την προεπιλεγμένη ρύθμιση αυτόματων βασικών ενημερώσεων δεν κινδυνεύουν.
Το Europa Clipper της NASA οδεύει στον Δία
Τεράστιος δυνητικά επικίνδυνος αστεροειδής πλησιάζει τη Γη
Apple: Παρακολουθεί παράνομα τους εργαζομένους;
Ωστόσο, ιστότοποι που χρησιμοποιούν WordPress 5.8.2 ή παλαιότερη έκδοση, με read-only filesystems που έχουν απενεργοποιήσει τα αυτόματα core updates στο wp-config.php, θα μπορούσαν να είναι ευάλωτοι σε επιθέσεις με βάση τα εντοπισμένα ελαττώματα.
Δείτε επίσης: “All in One” SEO WordPress plugin: Κρίσιμες ευπάθειες θέτουν σε κίνδυνο χιλιάδες sites
Τα τέσσερα ελαττώματα που αντιμετωπίστηκαν με την πιο πρόσφατη ενημέρωση ασφαλείας είναι τα ακόλουθα:
- CVE-2022-21661: SQL injectionL υψηλής σοβαρότητας (βαθμολογία CVSS 8.0) μέσω WP_Query. Αυτό το ελάττωμα είναι εκμεταλλεύσιμο μέσω plugins και themes που χρησιμοποιούν WP-Query. Οι διορθώσεις καλύπτουν εκδόσεις WordPress έως και 3.7.37.
- CVE-2022-21662: Υψηλής σοβαρότητας (βαθμολογία CVSS 8.0) ευπάθεια XSS που επιτρέπει στους authors (χρήστες με χαμηλότερα δικαιώματα) να προσθέσουν ένα κακόβουλο backdoor ή να καταλάβουν έναν ιστότοπο κάνοντας κατάχρηση των post slugs. Οι διορθώσεις καλύπτουν εκδόσεις WordPress έως και 3.7.37.
- CVE-2022-21664: SQL injection υψηλής σοβαρότητας (βαθμολογία CVSS 7,4) μέσω του core class WP_Meta_Query. Οι διορθώσεις καλύπτουν τις εκδόσεις του WordPress έως την 4.1.34.
- CVE-2022-21663: Πρόβλημα object injection μεσαίας σοβαρότητας (βαθμολογία CVSS 6,6) που μπορεί να χρησιμοποιηθεί μόνο εάν ένας απειλητικός παράγοντας έχει παραβιάσει τον λογαριασμό διαχειριστή. Οι διορθώσεις καλύπτουν εκδόσεις WordPress έως και 3.7.37.
Δεν έχουν υπάρξει αναφορές ότι τα παραπάνω είναι υπό ενεργή εκμετάλλευση και κανένα από αυτά τα ελαττώματα δεν θεωρείται ότι έχει σοβαρό πιθανό αντίκτυπο στους περισσότερους ιστότοπους WordPress.
Δείτε επίσης: Patch Tuesday Δεκεμβρίου 2021: Η Microsoft διορθώνει 67 ευπάθειες
Ωστόσο, συνιστάται σε όλους τους κατόχους ιστότοπων WordPress να αναβαθμίσουν στην έκδοση 5.8.3, να ελέγξουν το configuration του firewall τους και να διασφαλίσουν ότι οι βασικές ενημερώσεις του WP είναι ενεργοποιημένες.
Αυτή η ρύθμιση μπορεί να εμφανιστεί στην παράμετρο “define” στο wp-config.php, η οποία θα πρέπει να είναι “define(‘WP_AUTO_UPDATE_CORE’, true );”
Οι αυτοματοποιημένες βασικές ενημερώσεις εισήχθησαν το 2013 στο WordPress 3.7 και σύμφωνα με επίσημα στατιστικά στοιχεία, μόνο το 0,7% όλων των ιστότοπων WP εκτελούν αυτήν τη στιγμή μια έκδοση παλαιότερη από αυτήν.
Πηγή πληροφοριών: bleepingcomputer.com