Introducció
El 6 de gener es van publicar 4 vulnerabilitats en WordPress de tipus XSS emmagatzemat, injecció d’objectes i injecció SQL [1].
Anàlisi
Les vulnerabilitats publicades afecten les versions de WordPress entre la 3.7 i la 5.8, i són les següents:
-
-
- XSS emmagatzemat a través de post slugs [2]
- Injecció d’objectes en algunes instal·lacions Multisite [3]
- Vulnerabilitat d’injecció SQL en WP_Query [4]
- Vulnerabilitat d’injecció SQL en WP_Meta_Query (només rellevant per a les versions 4.1-5.8) [5]
-
Recomanacions
Aquestes vulnerabilitats ja s’han esmenat en la versió WordPress 5.8.3, per la qual cosa se’n recomana la instal·lació [6].
Si encara no has actualitzat a la versió 5.8, totes les versions de WordPress des de la 3.7 també s’han actualitzat per a solucionar el problema de seguretat següent (llevat que s’indique el contrari).
Referències
[1] News – WordPress 5.8.3 Security Release – WordPress.org[2] Permalinks & Slugs – WordPress.com Support
[3] What Is WordPress Multisite & When to Use It? – Pressable
[4] WP_Query | Class | WordPress Developer Resources
[5] WP_Meta_Query | Class | WordPress Developer Resources
[6] Version 5.8.3 | WordPress.org