Introducción
El 6 de Enero se publicaron 4 vulnerabilidades en WordPress de tipo XSS almacenado, inyección de objetos e inyección SQL [1].
Análisis
Las vulnerabilidades publicadas afectan a las versiones de WordPress entre la 3.7 y la 5.8, y son las siguientes:
- XSS almacenado a través de post slugs [2]
- Inyección de objetos en algunas instalaciones Multisite [3]
- Vulnerabilidad de inyección SQL en WP_Query [4]
- Vulnerabilidad de inyección SQL en WP_Meta_Query (sólo relevante para las versiones 4.1-5.8) [5]
Recomendaciones
Estas vulnerabilidades ya se han subsanado en la versón WordPress 5.8.3 por lo que se recomienda su instalación [6].
Si aún no has actualizado a la versión 5.8, todas las versiones de WordPress desde la 3.7 también se han actualizado para solucionar el siguiente problema de seguridad (salvo que se indique lo contrario).
Referencias
[1] News – WordPress 5.8.3 Security Release – WordPress.org[2] Permalinks & Slugs – WordPress.com Support
[3] What Is WordPress Multisite & When to Use It? – Pressable
[4] WP_Query | Class | WordPress Developer Resources
[5] WP_Meta_Query | Class | WordPress Developer Resources
[6] Version 5.8.3 | WordPress.org