14 de febrero de 2016

WORDPRESS. Actualización de seguridad

Se ha publicado la versión 4.4.2 de WordPress destinada a solucionar dos nuevas vulnerabilidades. 

Wordpress es un sistema de gestión de contenidos enfocado a la creación de blogs desarrollado en PHP y MySQL, ampliamente usado en la comunidad de bloggers debido a su facilidad de uso y sus características como gestor de contenidos.
Detalle de la actualización
  • Esta actualización incluye la corrección de una vulnerabilidad de SSRF ("Server Side Request Forgery") para determinadas URIs locales. Este tipo de vulnerabilidades pueden permitir a un atacante evitar controles de acceso (como firewalls) y acceder a datos de la red interna a los que no podría acceder directamente. Por ejemplo, un atacante podría acceder a documentos del sistema (empleando file://) o mediante otros protocolos.
  • Por otra parte, se corrige una segunda vulnerabilidad consistente en una redirección abierta. Un atacante podría explotar esta vulnerabilidad mediante una URL específicamente creada para redireccionar a la víctima a sitios web arbitrarios.
  • Además está versión contiene la corrección de otros 17 fallos no relacionados directamente con problemas de seguridad.
Recomendación
  • Dada la importancia de los problemas corregidos se recomienda la actualización de los sistemas a la versión 4.4.2 disponible desde:  https://wordpress.org/download/
  • O bien desde el dashboard, Actualizaciones (Updates), Actualizar Ahora (Update Now). Los sitios que soporten actualizaciones automáticas ya han iniciado la actualización a WordPress 4.4.2.
Más información:
Fuente: Hispasec