Los investigadores de seguridad informaron del descubrimiento de seis vulnerabilidades graves en WordPress. las vulnerabilidades’ impacto ha sido calificado como “alto”, lo que significa que parches tan pronto como sea posible es muy recomendable.
Seis vulnerabilidades de WordPress fija en WordPress 5.2.4
De acuerdo con Symantec aviso de seguridad, un atacante podría aprovechar los fallos para ejecutar código script de arbitrario en el navegador de un usuario vulnerable en el contexto del sitio afectado. Esto podría permitir al atacante para robar credenciales de autenticación basada en cookies y lanzar otros ataques, así como las restricciones de derivación cierta seguridad para llevar a cabo acciones no autorizadas.
¿Qué versiones de WordPress son vulnerables a las fallas? Las versiones anteriores de WordPress 5.2.4 son vulnerables. La lista de las tecnologías afectadas incluido entre todas las versiones de WordPress 3.0.1 WordPress y WordPress 5.2.3.
La buena noticia es que WordPress 5.2.4 ya está disponible, que aborda los problemas de seguridad de seis.
Aquí hay una lista de las vulnerabilidades y los nombres de los investigadores que los descubrieron:
- Evan Ricafort descubrió un problema en el que se almacena XSS (cross-site scripting) podría ser añadido a través de la Personalizador.
- J.D. Grimes encontró y describe un método de visualización de los mensajes no autenticados.
- Weston Ruter descubrió una manera de crear un XSS almacenado para inyectar Javascript en las etiquetas de estilo.
- David Newman descubrió un método para envenenar la caché de peticiones GET JSON a través de la Vary: cabecera de origen.
- Eugene Kolodenker encontró una falsificación de petición de servidor en la forma en que las URLs son validados.
- Ben Bidner del equipo de seguridad de WordPress descubrió cuestiones relacionadas con la validación de referencia en el admin.
El equipo de WordPress ha agradecido a los investigadores revelar las vulnerabilidades de forma privada, que les dio tiempo para solucionarlos antes de sitios de WordPress podían ser atacados.
Cabe señalar que el WordPress 5.2.4 versiones “una versión de seguridad de ciclo corto“, que ser seguido de una liberación importante en versión 5.3.
los usuarios de WordPress puede descarga de WordPress 5.2.4 o visitar Dashboard – Actualizaciones y haga clic en Actualizar ahora. Los sitios que soportan las actualizaciones automáticas de fondo ya han comenzado a actualizar automáticamente, el equipo observó WordPress.