Cabecera-v2-web.jpg

Vulnerabilidades crí­ticas en Wordpress y Joomla


Se han descubierto múltiples vulnerabilidades crí­ticas que afectan a dos de los CMS más populares, Wordpress y Joomla, que permiten, potencialmente, que un atacante pueda tomar el control total sobre servidores web vulnerables.

En el caso de Joomla, una de las vulnerabilidades es la CVE-2017-14596, la cual, debido a un filtrado inadecuado del plugin de autenticación de LDAP puede permitir a un atacante acceder al usuario y contraseña. Esta vulnerabilidad afecta a todas las versiones de Joomla desde 1.50 hasta la 3.7.5. Otra de las vulnerabilidades, CVE-2017-14595, permite acceder al texto de artí­culos archivados, debido a un fallo lógico en una consulta SQL. Esta vulnerabilidad afecta a las versiones 3.7.0 a 3.7.5.

En el caso de Wordpress, se identificaron varias vulnerabilidades que incluyen, entre otras, XSS (Cross-Site Scripting), Path traversal, hasta fallos lógicos en una consulta SQL que puede producir una vulnerabilidad de inyección de SQL, dependiendo de los plugins utilizados. Estas vulnerabilidades afectan a Wordpress 4.8.1 y todas las versiones previas.

Tanto Joomla como Wordpress han publicado actualizaciones que corrigen dichas vulnerabilidades.

Recomendaciones

Las vulnerabilidades de Wordpress fueron corregidas en la versión 4.8.2. Se recomienda actualizar a dicha versión. Se puede actualizar accediendo al Panel de Administración → Actualización. Los sitios configurados para actualizarse automáticamente empezaron a actualizarse desde el dí­a de ayer. 1/2 Alternativamente, se puede descargar la última versión de Wordpress desde el sitio oficial https://wordpress.org/download/

Las vulnerabilidades de Joomla fueron corregidas en la versión 3.8. Se puede actualizar desde el panel de control, o se puede descargar la actualización desde el sitio oficial:https://downloads.joomla.org/cms/joomla3/3-8-0


Mas información: http://www.cert.gov.py/application/files/7015/0599...



pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11