Wordpress ha publicado una
actualización de seguridad que corrige varias vulnerabilidades, catalogada de Importancia:
4 - Alta
Recursos afectados:
- Todas las versiones anteriores a la 4.8.2 están
afectadas por estas vulnerabilidades.
Detalle e Impacto de
la actualización
La actualización soluciona las
siguientes vulnerabilidades:
- $wpdb->prepare() puede crear peticiones inseguras
e inesperadas que lleven a una inyección SQL (SQLi). El núcleo de
WordPress no es directamente vulnerable a este problema pero se ha añadido
un refuerzo para evitar que plugins y temas provoquen una vulnerabilidad
accidentalmente.
- Cross-site scripting (XSS) en oEmbed discovery.
- Cross-site scripting (XSS) en el editor visual.
- Salto de directorio en el código de descompresión de
archivos.
- Cross-site scripting (XSS) en el editor de plugins.
- Redirección abierta en las pantallas de edición de
usuarios y términos.
- Salto de directorio en el personalizador.
- Cross-site scripting (XSS) en los nombres de plantilla.
- Cross-site scripting (XSS) en la ventana emergente
de añadir enlaces.
Recomendación
- Actualizar a la versión 4.8.2 de WordPress,
actualizando la versión existente o descargándola desde: Download
WordPress 4.8.2
Más información
- WordPress 4.8.2
Security and Maintenance Release https://wordpress.org/news/2017/09/wordpress-4-8-2-security-and-maintenance-release/
- Download
WordPress 4.8.2 https://wordpress.org/download/
Fuente: INCIBE