Cabecera-v2-web.jpg

Corrección de vulnerabilidades en WordPress


Se ha publicado la versión 4.6 de WordPress que entre otras mejoras está destinada a solucionar dos vulnerabilidades, que podrí­an permitir la construcción de ataques cross-site request forgery o provocar condiciones de denegación de servicio.

Wordpress es un sistema de gestión de contenidos enfocado a la creación de blogs desarrollado en PHP y MySQL, ampliamente usado en la comunidad de bloggers debido a su facilidad de uso y sus caracterí­sticas como gestor de contenidos.

El primer problema, con CVE-2016-6896, podrí­a permitir a un atacante remoto autenticado aprovechar un fallo de traspaso de rutas en la función "wp_ajax_update_plugin()" de "ajax-actions.php" para leer datos de "/dev/random/" y agotar la fuente de entropí­a y de esta forma evitar la ejecución de scripts PHP.

Por otra parte, con CVE-2016-6897, una vulnerabilidad de cross-site request forgery; que podrí­a permitir a un atacante remoto sin autenticar realizar acciones como un usuario autenticado, si consigue que la ví­ctima cargue una página html especí­ficamente creada.

Además está versión contiene la corrección de otros fallos y múltiples mejoras no relacionadas directamente con problemas de seguridad.

Se recomienda la actualización de los sistemas a la versión 4.6 disponible desde: https://wordpress.org/download/


Fuente: hispasec.com


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11