Cabecera-v2-web.jpg

Actualización de seguridad 4.5.2 para WordPress


Wordpress es un CMS (sistema de gestión de contenidos o Content Management System) gratuito y de código abierto escrito principalmente en PHP y que permite a los usuarios, tanto expertos como aficionados, administrar fácilmente una página web o blog con contenido dinámico. La primera versión de este software se lanzó en mayo de 2003 y ahora, 12 años más tarde, es utilizado prácticamente en el 25% de todas las páginas web publicadas en Internet.

wordpress.png


Se ha reportado dos vulnerabilidades crí­ticas que afectan a Wordpress. Una vulnerabilidad de Same-Origin Method Execution afecta a Plupload, la librerí­a utilizada en Wordpress, afectando así­ a todas las versiones previas a 4.5.2. Se trata de una técnica de ataque que abusa de las llamadas de retorno, principalmente los applets de Flash y JSONP a la que los cuadros de diálogo de OAuth normalmente redireccionan (redirect_uri), forzando a la ví­ctima a la ejecución de métodos arbitrarios de cualquier página en el dominio del punto final. Esta técnica es utilizada para evadir Polí­ticas de Mismo Origen (Same-Origin Policies - SOP).

Además, las versiones de WordPress desde 4.2 a 4.5.1 son vulnerables a XSS reflejado utilizando URI especialmente diseñados a través MediaElement.js, la biblioteca de terceros utilizado para reproductores de medios.

Wordpress ha lanzado una actualización para dichas vulnerabilidades en la versión 4.5.2. MediaElement.js y Plupload también han publicado actualizaciones que corrigen estos problemas.

El impacto y la criticidad dependerán de la aplicación. En algunos casos, un atacante remoto no autorizado podrí­a obtener un control total de la sesión de usuario que explota, pudiendo obtener acceso a información sensible de forma no autorizada. En caso de tratarse de una sesión de usuario con privilegio de administrador, podrí­a obtener el control total del servidor que aloja la aplicación de Wordpress vulnerable.

Wordpress ha publicado una actualización, Wordpress 4.5.2 la cual corrige las vulnerabilidades. Se recomienda actualizar los sitios afectados de inmediato. La nueva versión puede ser obtenida aquí­:https://wordpress.org/download/

También se puede actualizar desde el panel de administración, ingresando a "Escritorio" > "Actualizaciones".

Puede leer la guí­a oficial de actualización de Wordpress aquí­: https://codex.wordpress.org/es: Actualizar_WordPress


Para más información: https://cert.gov.py/application/files/2414/6281...



pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11