Se ha reportado un nuevo aviso de seguridad sobre múltiples vulnerabilidades que afectan a WordPress, que permitirían a un atacante realizar ataques del tipo cross-site scripting (XSS), cross site request forgery (CSRF), path traversal, bloqueo de temas a usuarios, entre otros.
Las vulnerabilidades reportadas se componen de un total de 19 vulnerabilidades en el CORE y 10 en Block Editor, todas sin CVEs ni severidad asignada aún. Las principales se detallan a continuación:
- Sin CVE, sin severidad y sin una puntuación asignada aún. Esta vulnerabilidad se debe a una falla de seguridad en las miniaturas de los archivos adjuntos de WordPress. Esto permitiría a un atacante realizar ataques del tipo cross-site request forgery (CSRF) en el sitio web afectado.
- Sin CVE, sin severidad y sin una puntuación asignada aún. Esta vulnerabilidad se debe a la limitación incorrecta en los archivos de traducción de WordPress. Esto permitiría a un atacante realizar ataques del tipo path traversal en el sitio web afectado.
Se puede acceder al listado completo de las vulnerabilidades aquí.
El producto afectado es:
- WordPress, versiones anteriores a 6.2.1.
Recomendamos instalar las actualizaciones correspondientes provistas por WordPress en el siguiente enlace:
Referencias: