De Hispasec – Una al Día: Actualización de seguridad para WordPress (22/06/2016)

Actualización de seguridad para WordPress

miércoles, 22 de junio de 2016

Se ha publicado la versión 4.5.3 de WordPress destinada a solucionar múltiples vulnerabilidades, que podrían permitir la construcción de ataques cross-site scripting, obtener información sensible, cambiar contraseñas o provocar condiciones de denegación de servicio.

wordpress-logo-stacked-rgb

WordPress es un sistema de gestión de contenidos enfocado a la creación de blogs desarrollado en PHP y MySQL, ampliamente usado en la comunidad de bloggers debido a su facilidad de uso y sus características como gestor de contenidos.

Esta actualización incluye la corrección de diferentes vulnerabilidades: un salto de redirecciones en el personalizador, dos problemas de cross-site scripting a través de los nombres de adjuntos, obtención del historial de revisiones, denegación de servicio en oEmbed, eliminación de la categoría de una entrada sin autorización, cambio de contraseña a través del robo de cookies y algunos casos relacionados con sanitize_file_name. Todos afectan a WordPress versiones 4.5.2 y anteriores.

Además está versión contiene la corrección de otros 17 fallos no relacionados directamente con problemas de seguridad, que afectan a versiones 4.5, 4.5.1 y 4.5.2.

Dada la importancia de los problemas corregidos se recomienda la actualización de los sistemas a la versión 4.5.3 disponible desde:

https://wordpress.org/download/

O bien desde el dashboard, Actualizaciones (Updates), Actualizar Ahora (Update Now). Los sitios que soporten actualizaciones automáticas ya han iniciado la actualización a WordPress 4.5.2.

Más información:

WordPress 4.5.3 Maintenance and Security Release

https://wordpress.org/news/2016/06/wordpress-4-5-3/

 

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero

Acerca de Hector Suarez Planas

Es Licenciado en Ciencia de la Computación (3 de julio de 2002). Ha sido Administrador de Red en varias organizaciones, Programador y Analista de Sistemas. Actualmente se desempeña como Administrador de Red del Telecentro Tele Turquino de Santiago de Cuba. Tiene experiencia con sistemas Windows y GNU/Linux, Infraestructura de Redes (Cisco, AlliedTelesis, Netgear y HP ProCurve, Vyatta/VyOS), Servidores tanto físicos como virtuales (plataformas VMWare, Proxmox VE y Xen), Sistemas de Seguridad Informática (Snort/Suricata IDS, appliances AlienVault OSSIM), programador (Delphi, C++ Builder, Perl [poco], Python [algo]), entre otras cosas. Actualmente estoy incursionando en todo lo que tiene relación con Cloud Computing (OpenStack) y Centros de Datos. :-)
Esta entrada fue publicada en Actualizaciones, Seguridad, Vulnerabilidades, Wordpress. Guarda el enlace permanente.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *