Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

29/06/2012

Actualització de seguretat 3.4.1 de WordPress

Esta actualització resol diversos bugs i vulnerabilitats. Una d’elles, la més crítica, permet a administradors i editors, en instal·lacions multisite, utilitzar unfiltered_html.

La nova versió de WordPress resol 18 bugs i les vulnerabilitats següents:

• Vulnerabilitat d’escalat de privilegis i XSS (crítica): administradors i editors en instal·lacions multisite podien, en la versió anterior, utilitzar unfiltered_html.

• Vulnerabilitat de CSRF.

• Revelació d’informació, concretament dels postts privats i esborranys (drafts) d’autors i contribuïdors.

Estes vulnerabilitats podien permetre, entre altres, escalat de privilegis, revelació i robatori d’informació confidencial, realització d’accions sense consentiment, etc.

Quant a noves mesures de bsationat (hardening) WordPress 3.4.1 inclou:

• La funció wp_explain_nonce passa a estat deprecated, té previst eliminar-se en futures versions, perquè podria revelar informació innecessàriament.

• En la nova versió es requerix que un tema fill siga activat junt amb el seu tema pare.

Sistemes Afectats:

WordPress 3.4.0.

Referències:

None

Solució:

Descarrega't la versió de WordPress 3.4.1 o actualitza'l automàticament des del menú [Dashboard (Escriptori) -> Updates menú (Menú d’actualitzacions]".

Abans de realitzar l’actualització s’ha de realitzar una còpia de seguretat de la base de dades i dels fitxers de WordPress. D’altra banda, per a evitar problemes en el procés d’actualització, és recomanable desactivar tots els plugins i activar un dels temes que estan incorporats en Wordpress per defecte.

Notes:

INTECO-CERT

Version 3.4.1

CSIRT-CV