Se ha publicado la versión 4.5.2 de WordPress destinada a
solucionar dos nuevas vulnerabilidades.
Wordpress es un sistema de gestión de contenidos enfocado a la creación de blogs desarrollado en PHP y MySQL, ampliamente usado en la comunidad de bloggers debido a su facilidad de uso y sus características como gestor de contenidos.
Esta actualización incluye la corrección de una
vulnerabilidad SOME ("Same Origin Method Execution"), una técnica que
abusa del concepto de 'callbacks' en Javascript para inyectar funciones a
través de jsonp de manera ilimitada. El problema reside en Plupload, una
librería de un tercero que WordPress usa para la subida de archivos. Afecta a
WordPress versiones 4.5.1 y anteriores.
Por otra parte, WordPress versiones 4.2 a 4.5.1 se vulnerable a un Cross-Site scripting reflejado (XSS) mediante URIs específicamente construidas a través de MediaElement.js, otra librería de un tercero empleada por reproductores multimedia.
Recomendación
- Dada la importancia de los problemas corregidos se recomienda la actualización de los sistemas a la versión 4.5.2 disponible desde https://wordpress.org/download/
- O bien desde el dashboard, Actualizaciones (Updates), Actualizar Ahora (Update Now).
- Los sitios que soporten actualizaciones automáticas ya han iniciado la actualización a WordPress 4.5.2.
- WordPress 4.5.2 Security Release https://wordpress.org/news/2016/05/wordpress-4-5-2/