Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
04/02/2016
Wordpress publica una nueva actualización de seguridad
La versión 4.4.2 solventa dos vulnerabilidadesLa actualización publicada corrige una vulnerabilidad Server Side Request Forgery (SSRF) para determinadas URIs locales. Esto podría permitir a un atacante evitar firewalls y otros controles de acceso.
También se corrige una segunda vulnerabilidad de redireccion abierta. Un atacante podría explotar esta vulnerabilidad mediante una URL específicamente creada para redireccionar a la víctima a sitios web arbitrarios.
Wordpress 4.2.2 también solventa 17 fallos no relacionados directamente con problemas de seguridad.
Sistemas Afectados:Versiones de Wordpress inferiores a la 4.2.2
Referencias:CWE-918, CWE-601
Solución:Actualizar a Wordpress 4.2.2
Notas:WordPress 4.4.2 Security and Maintenance Release
https://wordpress.org/news/2016/02/wordpress-4-4-2-security-and-maintenance-release/
CWE-918: Server-Side Request Forgery (SSRF)
https://cwe.mitre.org/data/definitions/918.html
CWE-601: URL Redirection to Untrusted Site ('Open Redirect')
https://cwe.mitre.org/data/definitions/601.html