domingo, 15 de enero de 2017

Actualización de seguridad para WordPress

Se ha publicado la versión 4.7.1 de WordPress destinada a solucionar ocho vulnerabilidades, que podrían permitir la ejecución de código remoto en PHPMailer, exposición de datos de usuario, cross-site scripting o CSRF.

Wordpress es un sistema de gestión de contenidos enfocado a la creación de blogs desarrollado en PHP y MySQL, ampliamente usado en la comunidad de bloggers debido a su facilidad de uso y sus características como gestor de contenidos.

El primer problema corregido reside en la ejecución de código remoto en PHPMailer. Aunque no hay ningún problema específico que afecte a WordPress, o a los principales plugins, por precaución se ha actualizado PHPMailer en esta versión

La REST API expone datos de usuario de todos los usuarios autores de una entrada o un tipo de contenido público. Una vulnerabilidad de Cross-Site Scripting (XSS) a través del nombre del plugin o la cabecera de la versión en update-core.php, también mediante la retirada del nombre del tema. Otras dos vulnerabilidades de Cross-Site Request Forgery (CSRF) al subir un archivo flash y en el modo de accesibilidad de la edición de widgets.

Por último, la publicación por correo electrónico revisa mail.example.com si no han cambiado los ajustes por defecto y seguridad criptográfica débil en la clave de activación de multisitio.

Además está versión contiene la corrección de otros 62 fallos (desde la versión 4.7) no relacionados directamente con problemas de seguridad.

Se recomienda la actualización de los sistemas a la versión 4.7.1 disponible desde:

Más información:

WordPress 4.7.1 Security and Maintenance Release

WordPress 4.7.1 Actualización de mantenimiento y seguridad



Antonio Ropero

Twitter: @aropero