Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

14/04/2014

Actualització de seguretat per a Wordpress

La nova versió de WordPress soluciona errors de seguretat que podrien permetre la falsificació de galetes d’autenticació o una escalada de privilegis, entre altres.

La nova versió soluciona les vulnerabilitats següents:

• CVE-2014-0166, a través de la qual un atacant podria falsificar galetes d’autenticació i accedir amb elles al lloc WordPress atacat.
• CVE-2014-0165, per mitjà de la qual un usuari amb el rol de Contribuïdor (Contributor) podria publicar apunts.

A més de les vulnerabilitats mencionades, la nova versió soluciona nous errors i inclou millores de seguretat. En este aspecte, destaquen els canvis següents:

• Ara s’inclou informació addicional al processar pingbacks, per a ajudar en la detecció de peticions abusives.
• Se soluciona un problema d’injecció SQL de baix impacte.
• Es prevenen possibles atacs de cross-domain scripting per mitjà de la llibreria de tercers Plupload.

Sistemes Afectats:

Wordpress versions anteriors a la 3.8.2.

Referències:

CVE-2014-0165, CVE-2014-0166

Solució:

La versió 3.8.2 soluciona els problemes mencionats. Els usuaris que tinguen instal·lada la versió 3.7.1 poden actualitzar a la 3.7.2, que també soluciona els mateixos problemes. Les versions anteriors no compten amb suport de WordPress.

Notes:

INTECO-CERT
Wordpress 3.8.2 Release Notes
Wordpress 3.8.2 Security Release

CSIRT-CV