jueves, 23 de abril de 2015

Actualización crítica para WordPress

Se ha publicado la versión 4.1.2 de WordPress que soluciona cuatro vulnerabilidades, una de las cuales podría permitir comprometer el sitio web.

Wordpress es un sistema de gestión de contenidos enfocado a la creación de blogs desarrollado en PHP y MySQL, ampliamente usado en la comunidad de bloggers debido a su facilidad de uso y sus características como gestor de contenidos.

El problema más grave, que afecta a versiones 4.1.1 (y anteriores), reside en un cross-site scripting considerado crítico que podría permitir a usuarios anónimos comprometer la web.

En WordPress 4.1 (y posteriores) se pueden subir archivos con nombres inválidos o inseguros. En WordPress 3.9 (y posteriores), una vulnerabilidad de cross-site scripting que podría emplearse como parte de un ataque de ingeniería social. Por último, también se ha detectado que algunos plugins son vulnerables a una vulnerabilidad de inyección SQL.

También se han realizado cuatro cambios destinados a asegurar los sistemas. Dada la importancia de los problemas corregidos se recomienda la actualización de los sistemas a la versión 4.1.2 disponible desde:
https://wordpress.org/download/
O bien desde el dashboard, Actualizaciones (Updates), Actualizar Ahora (Update Now). Los sitios que soporten actualizaciones automáticas ya han iniciado la actualización a WordPress 4.1.2.

Más información:

WordPress 4.1.2 Security Release
https://wordpress.org/news/2015/04/wordpress-4-1-2/




Antonio Ropero
antonior@hispasec.com
Twitter: @aropero


Etiquetas: ,

1 comentario:

Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017