De Hispasec – Una al Día: Actualización de seguridad para WordPress (03/02/2016)

Saludos nuevamente.

Ahora cambio para Seguridad Informática nuevamente. Espero no aburrirlos mucho, pero estos temas siempre son importantes. 😀

El caso que nos ocupa es una actualización de WordPress:

Actualización de seguridad para WordPress
miércoles, 3 de febrero de 2016

Se ha publicado la versión 4.4.2 de WordPress destinada a solucionar dos nuevas vulnerabilidades.

wordpress-logo-stacked-rgb

WordPress es un sistema de gestión de contenidos enfocado a la creación de blogs desarrollado en PHP y MySQL, ampliamente usado en la comunidad de bloggers debido a su facilidad de uso y sus características como gestor de contenidos.

Esta actualización incluye la corrección de una vulnerabilidad de SSRF (“Server Side Request Forgery“) para determinadas URIs locales. Este tipo de vulnerabilidades pueden permitir a un atacante evitar controles de acceso (como firewalls) y acceder a datos de la red interna a los que no podría acceder directamente. Por ejemplo, un atacante podría acceder a documentos del sistema (empleando file://) o mediante otros protocolos.

Por otra parte, se corrige una segunda vulnerabilidad consistente en una redirección abierta. Un atacante podría explotar esta vulnerabilidad mediante una URL específicamente creada para redireccionar a la víctima a sitios web arbitrarios.

Además está versión contiene la corrección de otros 17 fallos no relacionados directamente con problemas de seguridad.

Dada la importancia de los problemas corregidos se recomienda la actualización de los sistemas a la versión 4.4.2 disponible desde:

https://wordpress.org/download/

O bien desde el dashboard, Actualizaciones (Updates), Actualizar Ahora (Update Now). Los sitios que soporten actualizaciones automáticas ya han iniciado la actualización a WordPress 4.4.2.

 

Más información:

WordPress 4.4.2 Security and Maintenance Release

https://wordpress.org/news/2016/02/wordpress-4-4-2-security-and-maintenance-release/

CWE-918: Server-Side Request Forgery (SSRF)

https://cwe.mitre.org/data/definitions/918.html

CWE-601: URL Redirection to Untrusted Site (‘Open Redirect’)

https://cwe.mitre.org/data/definitions/601.html

Antonio Ropero

Twitter: @aropero

Acerca de Hector Suarez Planas

Es Licenciado en Ciencia de la Computación (3 de julio de 2002). Ha sido Administrador de Red en varias organizaciones, Programador y Analista de Sistemas. Actualmente se desempeña como Administrador de Red del Telecentro Tele Turquino de Santiago de Cuba. Tiene experiencia con sistemas Windows y GNU/Linux, Infraestructura de Redes (Cisco, AlliedTelesis, Netgear y HP ProCurve, Vyatta/VyOS), Servidores tanto físicos como virtuales (plataformas VMWare, Proxmox VE y Xen), Sistemas de Seguridad Informática (Snort/Suricata IDS, appliances AlienVault OSSIM), programador (Delphi, C++ Builder, Perl [poco], Python [algo]), entre otras cosas. Actualmente estoy incursionando en todo lo que tiene relación con Cloud Computing (OpenStack) y Centros de Datos. :-)
Esta entrada fue publicada en Actualizaciones, Seguridad, Wordpress. Guarda el enlace permanente.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *