11 de abril de 2011

NUEVA VERSIÓN DE “WORDPRESS” SOLVENTA MÚLTIPLES FALLOS DE SEGURIDAD

La nueva versión de Wordpress 3.1.1, soluciona unos 30 fallos entre los que se incluyen 3 vulnerabilidades descubiertas por los desarrolladores Jon Cave y Peter Westwood.

Wordpress es un sistema de gestión de contenidos enfocado a la creación de blogs desarrollado en PHP y MySQL, ampliamente usado en la comunidad de bloggers debido a su facilidad de uso y sus características como gestor de contenidos.

Detalle de fallos y vulnerabilidades :

  1. La primera vulnerabilidad corregida permitía a un atacante remoto el secuestro de la sesión de autenticación al forzar al navegador de los usuarios autenticados a realizar acciones no autorizadas al visitar una página web especialmente manipulada. Localizada en el componente 'media uploader' permitía evadir la protección contra cross-site request forgery (CSRF).
  2. La segunda de las vulnerabilidades corregidas era un cross-site scripting (XSS) localizado en el código encargado de las actualizaciones de la base de datos y podría usarse para generar páginas web especialmente manipuladas permitiendo la ejecución de código HTML o JavaScript en el contexto de otro sitio web.
  3. Y la tercera vulnerabilidad, permitía causar una denegación de servicio a través del uso de enlaces especialmente manipulados en los comentarios.El fallo en este caso, reside en la función 'make_clickable' del fichero 'wp-includes/formatting.php' .
  4. Junto con estas 3 vulnerabilidades, la nueva versión de Wordpress corrige a su vez 26 fallos entre los que cabría destacar el soporte con IIS6, permalinks relacionados con PATHINFO, así como varios problemas de compatibilidad con ciertos plugins.

Recomendaciones :

Se recomienda la actualización a esta nueva versión de Wordpress, bien desde Dashboard -> updates o bien descargándola y realizando la actualización a mano.

Más informacion en el sitio web :
Fuente: Hispasec