Actualizarea de securitate WordPress 5.8.3 remediază vulnerabilitățile de tip SQL injection și XSS

Echipa de dezvoltare WordPress a emis recent varianta 5.8.3, o versiune de tip short-cycle care vizează patru vulnerabilități, trei dintre acestea fiind evaluate drept critice.

Nu sunt în pericol website-urile WordPress care au activă actualizarea automată. Cu toate acestea, site-urile care rulează varianta 5.8.2 sau o altă versiune mai veche, cu fișiere de sistem de tip read-only și au dezactivate actualizările automate în wp-config.php, ar putea fi vulnerabile la atacuri.

Cele patru vulnerabilități adresate în cadrul acestei actualizări sunt:

• CVE-2022-21661  – vulnerabilitate de tip SQL Injection cu scorul de 8.0 pe scara CVSS. Aceasta poate fi exploatată prin pluginuri și teme care utilizează WP-Query.
• CVE-2022-21662 – vulnerabilitate de tip XSS ce permite utilizatorilor cu permisiuni reduse să adauge un backdoor sau să obțină controlul asupra unei site prin modificarea post slug-ului acestuia.
• CVE-2022-21664  –  vulnerabilitate de tip SQL Injection cu scorul de 7.4 pe scara CVSS ;
• CVE-2022-21663 – vulnerabilitate cu scorul de 6.6 pe scara CVSS, exploatabilă doar dacă un atacator compromite contul unui administrator.

Nu au existat rapoarte privind exploatarea activă a acestor vulnerabilități. Totodată, se consideră că aceste vulnerabilități nu ar avea un impact sever asupra majorității site-urilor WordPress. Cu toate acestea, este recomandat ca toți administratorii să actualizeze site-urile cu varianta 5.8.3, să revizuiască configurația firewall-ului și să se asigure că actualizările de bază sunt active.

Actualizările de bază au fost implementate în anul 2013 în cadrul variantei WordPress 3.7 și, conform statisticilor oficiale, în prezent doar 0,7% din toate site-urile WordPress existente rulează o versiune mai veche decât aceasta.

Sursa: https://www.bleepingcomputer.com/news/security/wordpress-583-security-update-fixes-sql-injection-xss-flaws/