WordPress parcheado recientemente tres principales vulnerabilidades de seguridad en su última actualización. Las fallas podrían permitir cross-site scripting y las inyecciones SQL, y una serie de otros problemas posteriores. Las correcciones de versiones de WordPress afectadas 4.7.1 y anterior. la aplicación de la actualizar tan pronto como sea posible es recomendable hacer.
Sin embargo, ahora se sabe que, aparte de los problemas de seguridad que acabamos de mencionar la plataforma fija una vulnerabilidad peligrosa y luego secreto de día cero que le permita un acceso remoto y en la eliminación de páginas en WordPress. La razón por la que no anunciaron públicamente el día cero es que no quieren atraer a los piratas informáticos en su explotación. Así que dijeron.
De día cero en WordPress 4.7 y 4.7.1 Explicado: Sin autenticar la vulnerabilidad de elevación de privilegios en una API REST de punto final
El error permitido todas las páginas de los sitios web vulnerables a ser modificado. También, visitantes podrían haber sido redirigidos a sitios maliciosos que conducen a más complicaciones relacionadas con la seguridad. WordPress pospuso el anuncio público durante una semana y ahora está instando a todos los involucrados para actualizar.
Relacionado: Actualmente TeslaCrypt propagarse a través de un Compromiso de WordPress Páginas y EK Nuclear
En un puesto adicional, WordPress escribió:
Además de las tres vulnerabilidades de seguridad mencionadas en el puesto de lanzamiento original, WordPress 4.7 y 4.7.1 tenía una vulnerabilidad adicional por la cual se retrasó la divulgación. Había una vulnerabilidad de elevación de privilegios no autenticado en una API REST de punto final. Las versiones anteriores de WordPress, incluso con el Plugin API REST, nunca fueron vulnerables a este.
El día cero se informó el 20 de enero por la empresa de seguridad Sucuri, más particularmente investigador Marc-Alexandre Montpas. Afortunadamente, no hay atacantes han aprovechado el error, y una solución se preparó poco después de que se informó. No obstante, WordPress se tomó el tiempo para probar más el tema, ya que sentía que era bastante grave.
Por otra parte, Sucuri añade nuevas reglas para su Web Application Firewall de modo que explotan los intentos fueron bloqueados. Se estableció contacto con otras empresas, demasiado, para crear reglas similares para blindar los usuarios de los ataques antes de finalizar la actualización.
jugos escribieron:
El lunes, mientras continuamos para probar y refinar la solución, nuestra atención se centró en los ejércitos de WordPress. Se estableció contacto con ellos en privado con la información sobre la vulnerabilidad y las maneras de proteger a los usuarios. Los anfitriones trabajaron en estrecha colaboración con el equipo de seguridad para implementar protecciones periódicamente controlados por intentos de explotación en contra de sus usuarios.
Relacionado: Netgear routers vulnerables a los ataques de acceso remoto
Finalmente, la actualización se ha preparado el jueves pasado. También es importante tener en cuenta que los usuarios de WordPress 4.7.x estaban protegidos de forma rápida a través del sistema de actualización automática. Sin embargo, usuarios que no actualizan automáticamente WordPress tienen que hacerlo ellos mismos antes de que sea demasiado tarde.