E foi lançado o WordPress 5.8.3 com correções para quatro vulnerabilidades. Confira os detalhes dessa importante atualização.
O WordPress é o CMS (Sistema de Gerenciamento de Conteúdo) mais popular do mundo, o que o torna uma consideração importante ao construir um novo site. Ele é usado por 41% dos 10 milhões de sites principais, o que inclui o próprio Blog do Edivaldo.
Agora, a equipe de desenvolvimento do WordPress lançou a versão 5.8.3.
Novidades do WordPress 5.8.3
WordPress 5.8.3 uma versão de segurança de ciclo curto que aborda quatro vulnerabilidades, três das quais são classificadas como de alta importância.
O conjunto inclui uma injeção de SQL em WP_Query, uma injeção de SQL cega por meio de WP_Meta_Query, um ataque XSS por meio de post slugs e uma injeção de objeto de administração.
Todos os problemas têm pré-requisitos para sua exploração, e a maioria dos sites WordPress que usam a configuração padrão de atualizações automáticas do núcleo não está em perigo.
No entanto, sites usando o WordPress 5.8.2 ou anterior, com sistemas de arquivos somente leitura que desabilitaram as atualizações automáticas do núcleo no wp-config.php, podem ser vulneráveis a ataques com base nas falhas identificadas.
As quatro falhas abordadas com a atualização de segurança mais recente são as seguintes:
- CVE-2022-21661: injeção de SQL de alta gravidade (pontuação CVSS 8.0) via WP_Query. Esta falha é explorável através de plugins e temas que usam WP-Query. As correções cobrem as versões do WordPress até 3.7.37.
- CVE-2022-21662: Vulnerabilidade XSS de alta gravidade (pontuação CVSS 8.0) permitindo que autores (usuários com privilégios mais baixos) adicionem um backdoor malicioso ou assumam um site abusando de slugs de postagem. As correções cobrem as versões do WordPress até 3.7.37.
- CVE-2022-21664: injeção de SQL de alta gravidade (pontuação CVSS 7,4) por meio da classe principal WP_Meta_Query. As correções cobrem as versões do WordPress até 4.1.34.
- CVE-2022-21663: Problema de injeção de objeto de gravidade média (pontuação CVSS 6.6) que só pode ser explorado se um agente de ameaça tiver comprometido a conta de administrador. As correções cobrem as versões do WordPress até 3.7.37.
Não houve relatos de que o acima esteja sob exploração ativa na natureza, e nenhuma dessas falhas parece ter um impacto potencial grave na maioria dos sites WordPress.
No entanto, é recomendável que todos os proprietários de sites WordPress atualizem para a versão 5.8.3, revisem a configuração do firewall e garantam que as atualizações do WP core estejam ativadas.
Esta configuração pode ser vista no parâmetro ‘define‘ em wp-config.php, que deve ser “define('WP_AUTO_UPDATE_CORE', true);”
As atualizações principais automatizadas foram introduzidas em 2013 no WordPress 3.7 e, de acordo com estatísticas oficiais, apenas 0,7% de todos os sites WP estão atualmente executando uma versão mais antiga.
Para saber mais sobre essa versão do WordPress 5.8.3, acesse a nota de lançamento.
Como atualizar
Como o WordPress é um alvo comum para os atores de ameaças que desejam hospedar suas campanhas maliciosas, é importante que todos os usuários do WordPress atualizem para a versão mais recente o mais rápido possível.
Antes de executar qualquer atualização importante do WordPress, certifique-se de fazer backup do seu site.
Recomendo que você faça um backup completo que inclui seu banco de dados WordPress, arquivos WordPress, temas, plug-ins, biblioteca de mídia, etc. antes de prosseguir com a atualização.
Para atualizar para o WordPress mais recente, você pode baixá-lo e instalar manualmente ou atualizar a partir do painel de administração do WordPress, clicando em “Painel” > “Atualizações” e, em seguida, em “Atualizar agora”.
