28 de mayo de 2016

WORDPRESS. Actualización de seguridad

Se ha publicado la versión 4.5.2 de WordPress destinada a solucionar dos nuevas vulnerabilidades.
Wordpress es un sistema de gestión de contenidos enfocado a la creación de blogs desarrollado en PHP y MySQL, ampliamente usado en la comunidad de bloggers debido a su facilidad de uso y sus características como gestor de contenidos.
Esta actualización incluye la corrección de una vulnerabilidad SOME ("Same Origin Method Execution"), una técnica que abusa del concepto de 'callbacks' en Javascript para inyectar funciones a través de jsonp de manera ilimitada. El problema reside en Plupload, una librería de un tercero que WordPress usa para la subida de archivos. Afecta a WordPress versiones 4.5.1 y anteriores.
Por otra parte, WordPress versiones 4.2 a 4.5.1 se vulnerable a un Cross-Site scripting reflejado (XSS) mediante URIs específicamente construidas a través de MediaElement.js, otra librería de un tercero empleada por reproductores multimedia.
Recomendación
  • Dada la importancia de los problemas corregidos se recomienda la actualización de los sistemas a la versión 4.5.2 disponible desde  https://wordpress.org/download/
  • O bien desde el dashboard, Actualizaciones (Updates), Actualizar Ahora (Update Now). 
  • Los sitios que soporten actualizaciones automáticas ya han iniciado la actualización a WordPress 4.5.2.
MediaElement.js y Plupload también han publicado actualizaciones para corregir estos fallos.
Más información:
Fuente: Hispasec