Actualización de seguridad para WordPress

Se ha publicado la versión 4.7.5 de WordPress destinada a solucionar seis vulnerabilidades, que podrían permitir la realización de ataques de cross-site scripting y CSRF.

Wordpress es un sistema de gestión de contenidos enfocado a la creación de blogs desarrollado en PHP y MySQL, ampliamente usado en la comunidad de bloggers debido a su facilidad de uso y sus características como gestor de contenidos.

Dos de las vulnerabilidades corregidas podrían permitir la realización de ataques de Cross-Site Scripting (XSS) a través del personalizador y al tratar de subir archivos muy grandes. Un Cross-site request forgery (CSRF) en el cuadro de diálogo de las credenciales del sistema de archivos.

Por otra parte, también existe una validación inadecuada en las redirecciones en la clase HTTP. También se ha corregido el tratamiento incorrecto de los valores y la falta de comprobaciones de capacidad de datos de los meta de entrada de la API XML-RPC.

Además está versión contiene la corrección de otros tres fallos (de la versión 4.7) no relacionados directamente con problemas de seguridad.

Se recomienda la actualización de los sistemas a la versión 4.7.5 disponible desde:

https://wordpress.org/download/

O bien desde el escritorio de WordPress, Actualizaciones (Updates), Actualizar Ahora (Update Now). Los sitios que soporten actualizaciones automáticas ya han iniciado la actualización a WordPress 4.7.5.

Más información:

WordPress 4.7.5 Security and Maintenance Release

https://wordpress.org/news/2017/05/wordpress-4-7-5/

WordPress 4.7.5: Actualización de seguridad y mantenimiento

https://es.wordpress.org/2017/05/17/wordpress-4-7-5-actualizacion-de-seguridad-y-mantenimiento/

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero