WordPress anunció que estaba publicando una versión de mantenimiento y seguridad que parchea múltiples vulnerabilidades, incluida una que podría provocar la toma total del sitio.
Versión de mantenimiento y seguridad WordPress 6.3.2
WordPress 6.3.2 ofrece 41 correcciones de errores pero, lo que es más importante, incluye parches para ocho vulnerabilidades.
Recientemente se descubrieron y parchearon las siguientes ocho vulnerabilidades:
- Una vulnerabilidad en el núcleo de WordPress que permite la ejecución arbitraria de shortcodes
- Posible divulgación de direcciones de correo electrónico de usuarios por parte de piratas informáticos no autenticados que utilizan
- Vulnerabilidad de cadenas POP de ejecución remota de código
- Vulnerabilidad de secuencias de comandos entre sitios (XSS) en el bloque de navegación del enlace posterior
- Visibilidad de comentarios filtrados en publicaciones privadas
- Vulnerabilidad de secuencias de comandos entre sitios (XSS) reflejada en la pantalla de contraseñas de la aplicación
- Vulnerabilidad de secuencias de comandos entre sitios (XSS) en el bloque de notas al pie
- Vulnerabilidad de denegación de servicio (DoS) por envenenamiento de caché
Algunas de las vulnerabilidades se deben a una desinfección insuficiente de las entradas, lo que significa que los datos que se envían no filtran las entradas maliciosas.
La página oficial de desarrolladores de WordPress para la desinfección de entradas informa:
“Los datos no confiables provienen de muchas fuentes (usuarios, sitios de terceros, ¡incluso su propia base de datos!) y es necesario verificarlos todos antes de usarlos.
Desinfectar los datos de entrada es el proceso de asegurar/limpiar/filtrar los datos de entrada.
Se prefiere la validación a la desinfección porque la validación es más específica.
Pero cuando no es posible ‘más específico’, la desinfección es la mejor opción”.
Todas las vulnerabilidades están clasificadas como de gravedad media, incluidos parches para cinco problemas de gravedad media.
Un aviso sobre la versión de seguridad actual publicado por Wordfence señala que al menos una de las vulnerabilidades contenía el potencial de una toma de control total del sitio.
WordPress recomienda a todos los usuarios que verifiquen que sus instalaciones de WordPress estén actualizadas a la última versión, la versión 6.3.2 de WordPress.
Según el anuncio oficial de WordPress:
“Debido a que se trata de una versión de seguridad, se recomienda que actualice sus sitios de inmediato.
Los backports también están disponibles para otras versiones importantes de WordPress, 4.1 y posteriores”.
Lea el anuncio oficial de la versión de seguridad de WordPress:
WordPress 6.3.2 – Versión de mantenimiento y seguridad
Imagen destacada de Shutterstock/Light_Lenser
Con información de Search Engine Journal.
Leer la nota Completa > Actualización de seguridad de WordPress 6.3.2 para 8 vulnerabilidades