La nueva release 3.8.2 para WordPress soluciona fallos de seguridad que
podrían permitir la falsificación de cookies de autenticación o una escalada de
privilegios, entre otros. La
vulnerabilidad la han asignado un
nivel de Importancia: 3 - Media
Recursos afectados
- Todas las versiones anteriores a la 3.8.2.
La nueva versión soluciona las siguientes vulnerabilidades:
- CVE-2014-0166, a través de la cual un atacante podría falsificar cookies de autenticación, pudiendo acceder con ellas al sitio WordPress atacado.
- CVE-2014-0165, mediante la cual un usuario con el rol de Contribuidor (Contributor) podría publicar posts.
- Además de las vulnerabilidades mencionadas, la nueva versión soluciona nueve bugs e incluye mejoras de seguridad. En este aspecto, destacan los siguientes cambios:
- Ahora se incluye información adicional al procesar pingbacks, para ayudar en la detección de peticiones abusivas.
- Se soluciona un problema de inyección SQL de bajo impacto.
- Se previenen posibles ataques de cross-domain scripting por medio de la librería de terceros Plupload.
- La versión 3.8.2 soluciona los problemas mencionados. Los usuarios que tengan instalada la versión 3.7.1 pueden actualizar a la 3.7.2, que también soluciona los mismos problemas. Las versiones anteriores no cuentan con soporte de WordPress.
- Version 3.8.2 Release Notes http://codex.wordpress.org/Version_3.8.2
- WordPress 3.8.2 Security Release http://wordpress.org/news/2014/04/wordpress-3-8-2/
