Se
ha publicado la versión 4.4.2 de WordPress destinada a solucionar dos
nuevas vulnerabilidades.
Wordpress es un sistema de gestión de contenidos enfocado a la creación de blogs desarrollado en PHP y MySQL, ampliamente usado en la comunidad de bloggers debido a su facilidad de uso y sus características como gestor de contenidos.
Detalle de la actualización
- Esta actualización incluye la corrección de una vulnerabilidad de SSRF ("Server Side Request Forgery") para determinadas URIs locales. Este tipo de vulnerabilidades pueden permitir a un atacante evitar controles de acceso (como firewalls) y acceder a datos de la red interna a los que no podría acceder directamente. Por ejemplo, un atacante podría acceder a documentos del sistema (empleando file://) o mediante otros protocolos.
- Por otra parte, se corrige una segunda vulnerabilidad consistente en una redirección abierta. Un atacante podría explotar esta vulnerabilidad mediante una URL específicamente creada para redireccionar a la víctima a sitios web arbitrarios.
- Además está versión contiene la corrección de otros 17 fallos no relacionados directamente con problemas de seguridad.
Recomendación
- Dada la importancia de los problemas corregidos se recomienda la actualización de los sistemas a la versión 4.4.2 disponible desde: https://wordpress.org/download/
- O bien desde el dashboard, Actualizaciones (Updates), Actualizar Ahora (Update Now). Los sitios que soporten actualizaciones automáticas ya han iniciado la actualización a WordPress 4.4.2.
Más
información:
- WordPress 4.4.2 Security and Maintenance Release https://wordpress.org/news/2016/02/wordpress-4-4-2-security-and-maintenance-release/
- CWE-918: Server-Side Request Forgery (SSRF) https://cwe.mitre.org/data/definitions/918.html
- CWE-601: URL Redirection to Untrusted Site ('Open Redirect') https://cwe.mitre.org/data/definitions/601.html
Fuente: Hispasec