WordPress heeft een patch uitgebracht voor een bug die in een eerdere versie van zijn software was geslopen. Die heeft tot gevolg dat de auto-updatefunctie niet meer werkt, waardoor nu een handmatige update is vereist. Daarnaast komt er geen patch voor een gepubliceerd DoS-lek.
In een mededeling schrijft WordPress dat de ernstige bug in versie 4.9.3 van zijn software is geïntroduceerd. Die zorgt ervoor dat sites die geconfigureerd zijn voor automatische updates, deze niet meer uitvoeren. Daardoor is het nodig om handmatig te updaten naar versie 4.9.4, die een patch voor de bug bevat. Dat kan onder meer via het dashboard en de knop 'update now'.
In een technische analyse schrijft WordPress dat het de bedoeling was om met versie 4.9.3 het aantal api-verzoeken bij een cron-taak voor een automatische update te verminderen, maar dat door een menselijke fout de bug werd geïntroduceerd. De bug is problematisch, omdat de software bij het uitblijven van een handmatige update geen nieuwe versies meer zal ontvangen. Eventuele kwetsbaarheden blijven daardoor open.
Eerder deze week publiceerde beveiligingsonderzoeker Barak Tawily een beschrijving van een denial of service-lek in WordPress, dat van toepassing zou zijn op een groot aantal sites. Het lek, met kenmerk CVE-2018-6389, laat een ongeauthenticeerde aanvaller via de loginpagina bepaalde php-modules aanroepen en daarmee onder meer grote hoeveelheden css-bestanden opvragen, schrijft beveiligingsbedrijf Imperva. WordPress ziet dit volgens Tawily echter als een probleem dat op server- of netwerkniveau opgelost moet worden. Daarom heeft de onderzoeker eigenhandig een patch geschreven.