Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

14/04/2014

Actualización de seguridad para Wordpress

La nueva versión de WordPress soluciona fallos de seguridad que podrían permitir la falsificación de cookies de autenticación o una escalada de privilegios, entre otros.

La nueva versión soluciona las siguientes vulnerabilidades:

• CVE-2014-0166, a través de la cual un atacante podría falsificar cookies de autenticación, pudiendo acceder con ellas al sitio WordPress atacado.
• CVE-2014-0165, mediante la cual un usuario con el rol de Contribuidor (Contributor) podría publicar posts.

Además de las vulnerabilidades mencionadas, la nueva versión soluciona nueve bugs e incluye mejoras de seguridad. En este aspecto, destacan los siguientes cambios:

• Ahora se incluye información adicional al procesar pingbacks, para ayudar en la detección de peticiones abusivas.
• Se soluciona un problema de inyección SQL de bajo impacto.
• Se previenen posibles ataques de cross-domain scripting por medio de la librería de terceros Plupload.

Sistemas Afectados:

Wordpress versiones anteriores a la 3.8.2.

Referencias:

CVE-2014-0165, CVE-2014-0166

Solución:

La versión 3.8.2 soluciona los problemas mencionados. Los usuarios que tengan instalada la versión 3.7.1 pueden actualizar a la 3.7.2, que también soluciona los mismos problemas. Las versiones anteriores no cuentan con soporte de WordPress.

Notas:

INTECO-CERT
Wordpress 3.8.2 Release Notes
Wordpress 3.8.2 Security Release

CSIRT-CV