WordPress 爆料核心漏洞致使数百万个网站遭受攻击
WordPress 公布了由核心开发团队自己引入的高威胁级别漏洞
WordPress 宣布已经修复了四个漏洞,从 1 到 10 评分高达 8。这些漏洞位于 WordPress 核心本身中,是由于 WordPress 开发团队本身引入的缺陷造成的。
四个 WordPress 漏洞
WordPress 公告没有详细说明漏洞的严重程度,而且细节也很少。
然而,记录和公布漏洞的美国政府国家漏洞数据库以 1 到 10 的等级将漏洞评为高达 8.0,其中 10 代表最高危险级别。
这四个漏洞是:
1.由于 WP_Meta_Query 中缺乏数据清理而导致的 SQL 注入(严重级别被评为高,7.4)2.多站点中的经过身份验证的对象注入(严重级别为中 6.6)3.通过经过身份验证的用户存储的跨站点脚本 (XSS)(严重性级别为高,8.0)4.由于不正确的清理,通过 WP_Query 进行的SQL 注入(严重级别被评为高,8.0)
四分之三的漏洞是由 WordPress 之外的安全研究人员发现的。 WordPress 直到收到通知才知道。
这些漏洞是私下向 WordPress 披露的,这使得 WordPress 能够在问题广为人知之前解决这些问题。
WordPress 开发以一种危险的方式进行?
WordPress 的开发在 2021 年放缓,因为他们无法完成最新版本 5.9 的工作,该版本的 WordPress 版本推迟到 2022 年晚些时候。
由于担心开发进度跟不上,WordPress 内部一直在谈论放慢开发速度。
WordPress 核心开发人员自己在 2021 年末就开发速度发出了警报,请求更多时间。
鉴于 WordPress 无法遵守自己的发布计划,并且正在讨论将 2022 年的发布日历从四个版本缩减到三个,人们不得不质疑 WordPress 的开发速度,以及是否应该做出更多努力来确保漏洞不会无意中发布到 互联网。