Nova versão do WordPress 5.8.3 corrige falhas de segurança

Nova versão do WordPress 5.8.3 corrige falhas de segurança. Os desenvolvedores do WordPress lançaram uma atualização com foco na segurança que aborda quatro falhas de segurança significativas no software de gerenciamento de conteúdo.

Mais especificamente, o WordPress 5.8.3 corrige as vulnerabilidades de cross site scripting (XSS) e injeção de SQL que afetam as versões do WordPress entre 3.7 e 5.8.

Primeiro, há uma correção para um XSS armazenado por meio da vulnerabilidade de post slugs que foi descoberta por Karim El Ouerghemmi e Simon Scannell da SonarSource.

El Ouerghemmi disse ao The Daily Swig : “Nós descobrimos e relatamos uma vulnerabilidade de XSS armazenada no WordPress que poderia permitir que um invasor autenticado injetasse uma carga de JavaScript em post slugs.

“Essa carga útil infectaria o painel de administração e, em última análise, poderia ser usada para sequestrar contas de administrador e comprometer a instalação.”

El Ouerghemmi continuou: “Reportamos a vulnerabilidade há mais de três anos e estamos felizes em ver que ela finalmente foi corrigida”.

SonarSource planeja liberar os detalhes técnicos desta vulnerabilidade em um post de blog na próxima terça-feira (11 de janeiro) junto com detalhes sobre como isso poderia ter sido explorado sem quaisquer privilégios de usuário quando uma versão mais antiga do plug-in amplamente usado for instalada.

Simon Scannell, também da SonarSource, relatou separadamente um problema com “injeção de objeto em algumas instalações multisite” que também foi corrigido com a versão 5.8.3 do WordPress.

A mesma atualização aborda uma vulnerabilidade de injeção de SQL em WP_Query descoberta por ngocnb e khuyenn de GiaoHangTietKiem JSC e relatada por meio do programa Zero Day Imitative (ZDI) da Trend Micro.

O Daily Swig abordou a ZDI para comentar. Nenhuma palavra de volta ainda, mas vamos atualizar esta história conforme e quando mais informações vierem à mão.

O WordPress 5.8.3 é uma versão provisória do CMS com foco em patch de segurança que omite quaisquer novos recursos ou funcionalidades.

O primeiro grande lançamento do ano, WordPress 5.9 , está agendado para lançamento em 25 de janeiro.