De Hispasec – Una al Día: Actualización de seguridad para WordPress (08/09/2016)

Actualización de seguridad para WordPress

jueves, 8 de septiembre de 2016

Se ha publicado la versión 4.6.1 de WordPress destinada a solucionar dos vulnerabilidades, que podrían permitir la construcción de ataques cross-site scripting y de escalada de directorios (o ruta transversal).

wordpress-logo-stacked-rgbWordPress es un sistema de gestión de contenidos enfocado a la creación de blogs desarrollado en PHP y MySQL, ampliamente usado en la comunidad de bloggers debido a su facilidad de uso y sus características como gestor de contenidos.

Los problemas residen en un cross-site scripting a través del nombre de archive de una imagen; y una vulnerabilidad de ruta transversal en el paquete de subida de actualizaciones. Ambos afectan a WordPress versiones 4.6 y anteriores.

WordPress 4.6.1 fixes XSS vulnerability found by @cengizhansahin #sumofpwn #xss #WordPress https://t.co/V8DBhk5rhl

— Summer of Pwnage (@sumofpwn) 7 de septiembre de 2016

Además está versión contiene la corrección de otros 15 fallos (desde la versión 4.6) no relacionados directamente con problemas de seguridad.

Se recomienda la actualización de los sistemas a la versión 4.6.1 disponible desde:

https://wordpress.org/download/

Más información:

WordPress 4.6.1 Security and Maintenance Release

https://wordpress.org/news/2016/09/wordpress-4-6-1-security-and-maintenance-release/

una-al-dia (22/06/2016) Actualización de seguridad para WordPress

http://unaaldia.hispasec.com/2016/06/actualizacion-de-seguridad-para.html

 

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero

Acerca de Hector Suarez Planas

Es Licenciado en Ciencia de la Computación (3 de julio de 2002). Ha sido Administrador de Red en varias organizaciones, Programador y Analista de Sistemas. Actualmente se desempeña como Administrador de Red del Telecentro Tele Turquino de Santiago de Cuba. Tiene experiencia con sistemas Windows y GNU/Linux, Infraestructura de Redes (Cisco, AlliedTelesis, Netgear y HP ProCurve, Vyatta/VyOS), Servidores tanto físicos como virtuales (plataformas VMWare, Proxmox VE y Xen), Sistemas de Seguridad Informática (Snort/Suricata IDS, appliances AlienVault OSSIM), programador (Delphi, C++ Builder, Perl [poco], Python [algo]), entre otras cosas. Actualmente estoy incursionando en todo lo que tiene relación con Cloud Computing (OpenStack) y Centros de Datos. :-)
Esta entrada fue publicada en Actualizaciones, Seguridad, Vulnerabilidad Crítica, Vulnerabilidades, Wordpress. Guarda el enlace permanente.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *