miércoles, 24 de agosto de 2016

Corregidas vulnerabilidades en WordPress

Se ha publicado la versión 4.6 de WordPress que entre otras mejoras está destinada a solucionar dos vulnerabilidades, que podrían permitir la construcción de ataques cross-site request forgery o provocar condiciones de denegación de servicio.

Wordpress es un sistema de gestión de contenidos enfocado a la creación de blogs desarrollado en PHP y MySQL, ampliamente usado en la comunidad de bloggers debido a su facilidad de uso y sus características como gestor de contenidos.

El primer problema, con CVE-2016-6896, podría permitir a un atacante remoto autenticado aprovechar un fallo de traspaso de rutas en la función "wp_ajax_update_plugin()" de "ajax-actions.php" para leer datos de "/dev/random/" y agotar la fuente de entropía y de esta forma evitar la ejecución de scripts PHP.

Por otra parte, con CVE-2016-6897, una vulnerabilidad de cross-site request forgery; que podría permitir a un atacante remoto sin autenticar realizar acciones como un usuario autenticado, si consigue que la víctima cargue una página html específicamente creada.

Además está versión contiene la corrección de otros fallos y múltiples mejoras no relacionadas directamente con problemas de seguridad.

Se recomienda la actualización de los sistemas a la versión 4.6 disponible desde:

Más información:

Path traversal vulnerability in WordPress Core Ajax handlers

WordPress 4.6 “Pepper”

Version 4.6



Antonio Ropero
Twitter: @aropero

No hay comentarios:

Publicar un comentario en la entrada