أصدر فريق تطوير WordPress الإصدار 5.8.3، وهو إصدار أمني قصير الدورة يعالج أربع نقاط ضعف، تم تصنيف ثلاثة منها على أنها ذات أهمية عالية.
تتضمن المجموعة حقنة SQL على WP_Query، وحقن SQL أعمى عبر WP_Meta_Query، وهجوم XSS عبر الرقائق اللاحقة post slugs، وحقن كائن المسؤول admin object.
تحتوي جميع المشكلات على متطلبات مسبقة لاستغلالها، ومعظم مواقع WordPress التي تستخدم إعداد التحديثات الأساسية التلقائية ليست في خطر.
ومع ذلك، فإن المواقع التي تستخدم WordPress 5.8.2 أو أقدم، مع أنظمة ملفات للقراءة فقط والتي عطلت التحديثات الأساسية التلقائية في wp-config.php، قد تكون عرضة للهجمات بناءً على العيوب المحددة.
فيما يلي العيوب الأربعة التي تم تناولها في آخر تحديث أمني:
- CVE-2022-21661
تتضمن المجموعة حقنة SQL على WP_Query، وحقن SQL أعمى عبر WP_Meta_Query، وهجوم XSS عبر الرقائق اللاحقة post slugs، وحقن كائن المسؤول admin object.
تحتوي جميع المشكلات على متطلبات مسبقة لاستغلالها، ومعظم مواقع WordPress التي تستخدم إعداد التحديثات الأساسية التلقائية ليست في خطر.
ومع ذلك، فإن المواقع التي تستخدم WordPress 5.8.2 أو أقدم، مع أنظمة ملفات للقراءة فقط والتي عطلت التحديثات الأساسية التلقائية في wp-config.php، قد تكون عرضة للهجمات بناءً على العيوب المحددة.
فيما يلي العيوب الأربعة التي تم تناولها في آخر تحديث أمني:
- CVE-2022-21661
خطورة عالية (درجة CVSS 8.0) حقن SQL عبر WP_Query. يمكن استغلال هذا الخلل عبر المكونات الإضافية والسمات التي تستخدم WP-Query. إصلاحات تغطية إصدارات WordPress وصولاً إلى 3.7.37.
- CVE-2022-21662
- CVE-2022-21662
درجة خطورة عالية (درجة CVSS 8.0) تسمح ثغرة XSS للمؤلفين (المستخدمين ذوي الامتيازات الأقل) بإضافة باب خلفي ضار أو الاستيلاء على موقع عن طريق إساءة استخدام الارتباطات الرخوة. إصلاحات تغطية إصدارات WordPress وصولاً إلى 3.7.37.
- CVE-2022-21664
- CVE-2022-21664
درجة الخطورة العالية (7.4 درجة CVSS) حقن SQL عبر الفئة الأساسية WP_Meta_Query. إصلاحات تغطية إصدارات WordPress وصولاً إلى 4.1.34.
- CVE-2022-21663
- CVE-2022-21663
مشكلة حقن الكائن ذات الخطورة المتوسطة (درجة CVSS 6.6) التي لا يمكن استغلالها إلا إذا قام أحد عناصر التهديد بخرق حساب المسؤول. إصلاحات تغطية إصدارات WordPress وصولاً إلى 3.7.37.
لم تكن هناك تقارير عن تعرض ما سبق للاستغلال النشط، ولا يُعتقد أن أيًا من هذه العيوب لها تأثير محتمل شديد على معظم مواقع WordPress.
ومع ذلك، يوصى بأن يقوم جميع مالكي مواقع WordPress بالترقية إلى الإصدار 5.8.3، ومراجعة تكوين جدار الحماية الخاص بهم، والتأكد من تنشيط التحديثات الأساسية لـ WP.
يمكن رؤية هذا الإعداد في معلمة "تعريف" في wp-config.php، والتي يجب أن تكون "تعريف ('WP_AUTO_UPDATE_CORE'، صحيح)".
تم تقديم التحديثات الأساسية الآلية في عام 2013 على WordPress 3.7، ووفقًا للإحصاءات الرسمية، فإن 0.7% فقط من جميع مواقع WP تعمل حاليًا بإصدار أقدم من ذلك.
لم تكن هناك تقارير عن تعرض ما سبق للاستغلال النشط، ولا يُعتقد أن أيًا من هذه العيوب لها تأثير محتمل شديد على معظم مواقع WordPress.
ومع ذلك، يوصى بأن يقوم جميع مالكي مواقع WordPress بالترقية إلى الإصدار 5.8.3، ومراجعة تكوين جدار الحماية الخاص بهم، والتأكد من تنشيط التحديثات الأساسية لـ WP.
يمكن رؤية هذا الإعداد في معلمة "تعريف" في wp-config.php، والتي يجب أن تكون "تعريف ('WP_AUTO_UPDATE_CORE'، صحيح)".
تم تقديم التحديثات الأساسية الآلية في عام 2013 على WordPress 3.7، ووفقًا للإحصاءات الرسمية، فإن 0.7% فقط من جميع مواقع WP تعمل حاليًا بإصدار أقدم من ذلك.
