Nueva actualización de seguridad para WordPress



Se ha publicado la versión 4.7.2 de WordPress destinada a solucionar tres vulnerabilidades, que podrían permitir realizar ataques de cross-site scripting, exponer información o posibilitar la realización de inyección SQL. Es una actualización de seguridad para todas las versiones y te animamos encarecidamente a actualizar tus sitios de inmediato.






  • Fecha de publicación: 27/01/2017
  • Importancia:  5 - Crítica


Wordpress es un sistema de gestión de contenidos enfocado a la creación de blogs desarrollado en PHP y MySQL, ampliamente usado en la comunidad de bloggers debido a su facilidad de uso y sus características como gestor de contenidos.

Hace menos de dos semanas que se publicó la versión 4.7.1, sin embargo se publica una nueva actualización para corregir nuevos problemas detectados. El primero reside en que la interfaz de usuario para asignar los términos de una taxonomía en Press This se muestra a usuarios que no tienen permisos para ello. Por otra parte, WP_Query es vulnerable a una inyección SQL al tratar datos inseguros. El aviso señala que el núcleo de WordPress no se ve afectado directamente por este problema, pero se han añadido medidas de seguridad para evitar que plugins y temas puedan verse afectados. Por último, un cross-site scripting (XSS) en la tabla de lista de posts.

Ya está disponible WordPress 4.7.2. Es una actualización de seguridad para todas las versiones y te animamos encarecidamente a actualizar tus sitios de inmediato.

Las versiones de WordPress 4.7.1 y anteriores están afectadas por estos tres problemas de seguridad:
  1. La interfaz de usuario en la que se asignan términos a taxonomías en Publicar esto se muestra a usuarios que no tienen permisos para usarlas. Informado por David Herrera de Alley Interactive.
  2. WP_Query rs vulnerable a una inyección SQL (SQLi) al pasar datos no seguros. El núcleo de WordPress no es vulnerable directamente a este problema pero hemos añadido refuerzo para evitar que plugins y temas puedan provocar accidentalmente una vulnerabilidad. Informado por Mo Jangda (batmoo).
  3. Se ha descubierto una vulnerabilidad de cross-site scripting (XSS) en la tabla de lista de entradas. Informado por Ian Dunn del equipo de seguridad de WordPress.


Se recomienda la actualización de los sistemas a la versión 4.7.2 disponible desde:

O bien desde el dashboard, Actualizaciones (Updates), Actualizar Ahora (Update Now). Los sitios que soporten actualizaciones automáticas ya han iniciado la actualización a WordPress 4.5.2.

Algunas de las recomendaciones que podemos mencionar a la hora de contar con WordPress son:
  • Actualizar WordPress, complementos y temas
  • No tener más de un CMS en un mismo servidor
  • Instalar complementos conocidos y de confianza
  • Usar temas de WordPress seguros y de confianza
  • Utilizar contraseñas robustas



Fuentes:
http://unaaldia.hispasec.com/2017/01/nueva-actualizacion-de-seguridad-para.html
https://www.incibe.es/protege-tu-empresa/avisos-seguridad/actualizacion-seguridad-wordpress-472

Via: blog.elhacker.net
Nueva actualización de seguridad para WordPress Nueva actualización de seguridad para WordPress Reviewed by Zion3R on 6:03 Rating: 5