Администриращите WordPress инсталации е нужно в най-скоро време да ги обновят, тъй като вчера компанията зад популярната CMS система са адресирали сериозна уязвимост. Става дума за възможност за SQL „инжектиране“, която може да бъде експлоатирана посредством плъгини или теми.
Версия 4.8.3 адресира тази уязвимост, като са нанесени промени по ядрото на WordPress. Екипите по сигурност на платформата са се опитали да запушат тази дупка и още девет проблема с версия 4.8.2 през септември. Разработчикът Антъни Ферара от Lingo Live е забелязал обаче, че освен, че кръпката е станала виновник за срива на множество сайтове, не е коригирала ключовата причина за уязвимостта. Той веднага е уведомил екипа на WordPress, на които обаче им е отнело шест седмици, за да изготвят адекватен фикс.
В публикация на своя блог, Ферара изразява недоумението си от бавната реакция на екипа по сигурността към WordPress. „Отне буквално пет седмици на някой просто да види действителната уязвимост. Това ме накара да заплаша екипа, че ще направя пълно разкриване, за да ги принудя да признаят размера на проблема. Разбирам, че съществуват и други приоритети, но проявете внимание. Покажете, че сте прочели написаното. И ако някой ви каже, че вероятно не разбирате нещо, поспрете се и поискайте да ви се разясни“, ядосва се Ферара.
Администриращите WP ресурси е нужно да обновят възможно по-скоро своите инсталации и плъгините към тях, тъй като проблема за наличието на уязвимостта вече е разкрит и вероятно скоро ще се появят опити за атаки към необновени ресурси с готови експлойти. Уязвимостта засяга всички версии на системата от 2.х нататък.
