Cabecera-v2-web.jpg

Actualización de seguridad para WordPress


wordpress.png

Se ha publicado la versión 4.7.1 de WordPress destinada a solucionar ocho vulnerabilidades, que podrí­an permitir la ejecución de código remoto en PHPMailer, exposición de datos de usuario, cross-site scripting o CSRF.

Wordpress es un sistema de gestión de contenidos enfocado a la creación de blogs desarrollado en PHP y MySQL, ampliamente usado en la comunidad de bloggers debido a su facilidad de uso y sus caracterí­sticas como gestor de contenidos.

El primer problema corregido reside en la ejecución de código remoto en PHPMailer. Aunque no hay ningún problema especí­fico que afecte a WordPress, o a los principales plugins, por precaución se ha actualizado PHPMailer en esta versión

La REST API expone datos de usuario de todos los usuarios autores de una entrada o un tipo de contenido público. Una vulnerabilidad de Cross-Site Scripting (XSS) a través del nombre del plugin o la cabecera de la versión en update-core.php, también mediante la retirada del nombre del tema. Otras dos vulnerabilidades de Cross-Site Request Forgery (CSRF) al subir un archivo flash y en el modo de accesibilidad de la edición de widgets.

Por último, la publicación por correo electrónico revisa mail.example.com si no han cambiado los ajustes por defecto y seguridad criptográfica débil en la clave de activación de multisitio.

Además está versión contiene la corrección de otros 62 fallos (desde la versión 4.7) no relacionados directamente con problemas de seguridad.

Se recomienda la actualización de los sistemas a la versión 4.7.1 disponible desde: https://wordpress.org/download/


Fuente: hispasec.com


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11