De Hispasec – Una al Día: Actualización de seguridad para WordPress (11/05/2016)

Saludos nuevamente.

Hoy leyendo las RSS de los sitios Hispasec – Una al Día y We Live Security vi publicaciones [sobreotodo en el segundo] que, a mi entender, son bastante interesantes, claro eso no demerita en nada la que se refiere a la actualización de WordPress publicada en el primer sitio. Véanla por ustedes mismos:

Actualización de seguridad para WordPress

miércoles, 11 de mayo de 2016

Se ha publicado la versión 4.5.2 de WordPress destinada a solucionar dos nuevas vulnerabilidades.

wordpress-logo-stacked-rgb

WordPress es un sistema de gestión de contenidos enfocado a la creación de blogs desarrollado en PHP y MySQL, ampliamente usado en la comunidad de bloggers debido a su facilidad de uso y sus características como gestor de contenidos.

Esta actualización incluye la corrección de una vulnerabilidad SOME (“Same Origin Method Execution“), una técnica que abusa del concepto de ‘callbacks‘ en Javascript para inyectar funciones a través de jsonp de manera ilimitada. El problema reside en Plupload, una librería de un tercero que WordPress usa para la subida de archivos. Afecta a WordPress versiones 4.5.1 y anteriores.

Por otra parte, WordPress versiones 4.2 a 4.5.1 se vulnerable a un Cross-Site scripting reflejado (XSS) mediante URIs específicamente construidas a través de MediaElement.js, otra librería de un tercero empleada por reproductores multimedia.

MediaElement.js y Plupload también han publicado actualizaciones para corregir estos fallos.

Dada la importancia de los problemas corregidos se recomienda la actualización de los sistemas a la versión 4.5.2 disponible desde:

https://wordpress.org/download/

O bien desde el dashboard, Actualizaciones (Updates), Actualizar Ahora (Update Now). Los sitios que soporten actualizaciones automáticas ya han iniciado la actualización a WordPress 4.5.2.

Más información:

WordPress 4.5.2 Security Release

https://wordpress.org/news/2016/05/wordpress-4-5-2/

 

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero

Acerca de Hector Suarez Planas

Es Licenciado en Ciencia de la Computación (3 de julio de 2002). Ha sido Administrador de Red en varias organizaciones, Programador y Analista de Sistemas. Actualmente se desempeña como Administrador de Red del Telecentro Tele Turquino de Santiago de Cuba. Tiene experiencia con sistemas Windows y GNU/Linux, Infraestructura de Redes (Cisco, AlliedTelesis, Netgear y HP ProCurve, Vyatta/VyOS), Servidores tanto físicos como virtuales (plataformas VMWare, Proxmox VE y Xen), Sistemas de Seguridad Informática (Snort/Suricata IDS, appliances AlienVault OSSIM), programador (Delphi, C++ Builder, Perl [poco], Python [algo]), entre otras cosas. Actualmente estoy incursionando en todo lo que tiene relación con Cloud Computing (OpenStack) y Centros de Datos. :-)
Esta entrada fue publicada en Actualizaciones, Seguridad, Vulnerabilidades, Wordpress. Guarda el enlace permanente.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *