miércoles, 11 de mayo de 2016

Actualización de seguridad para WordPress

Se ha publicado la versión 4.5.2 de WordPress destinada a solucionar dos nuevas vulnerabilidades.

Wordpress es un sistema de gestión de contenidos enfocado a la creación de blogs desarrollado en PHP y MySQL, ampliamente usado en la comunidad de bloggers debido a su facilidad de uso y sus características como gestor de contenidos.

Esta actualización incluye la corrección de una vulnerabilidad SOME ("Same Origin Method Execution"), una técnica que abusa del concepto de 'callbacks' en Javascript para inyectar funciones a través de jsonp de manera ilimitada. El problema reside en Plupload, una librería de un tercero que WordPress usa para la subida de archivos. Afecta a WordPress versiones 4.5.1 y anteriores.

Por otra parte, WordPress versiones 4.2 a 4.5.1 se vulnerable a un Cross-Site scripting reflejado (XSS) mediante URIs específicamente construidas a través de MediaElement.js, otra librería de un tercero empleada por reproductores multimedia.

MediaElement.js y Plupload también han publicado actualizaciones para corregir estos fallos.

Dada la importancia de los problemas corregidos se recomienda la actualización de los sistemas a la versión 4.5.2 disponible desde:
O bien desde el dashboard, Actualizaciones (Updates), Actualizar Ahora (Update Now). Los sitios que soporten actualizaciones automáticas ya han iniciado la actualización a WordPress 4.5.2.

Más información:

WordPress 4.5.2 Security Release



Antonio Ropero
Twitter: @aropero

1 comentario:

  1. Hola amigos. Cada vez que intento actualizar me sale lo siguiente:

    Actualizar WordPress
    Descargando paquete de instalación desde https://downloads.wordpress.org/release/es_ES/wordpress-4.5.2.zip…

    Fatal error: Maximum execution time of 30 seconds exceeded in C:\xampp\htdocs\wp-includes\class-wp-http-curl.php on line 324

    Por favor, si alguien puede ayudarme......

    ResponderEliminar