Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
25/08/2016
WordPress, un dels gestors de continguts més utilitzats en Internet, publica la nova versió 4.6. Aquest llançament es fa per a solucionar diverses vulnerabilitats que podrien permetre a un atacant remot deixar sense servei el lloc web o realitzar accions pròpies d'un usuari autenticat.
La primera vulnerabilitat CVE-2016-6896 consisteix en un path-traversal (hi ha la possibilitat d'accedir a qualsevol tipus de directori superior) que podria permetre a un atacant remot llegir dades de "/dev/random" (fitxer especial de Linux que proporciona dades pseudoaleatòries) i arribar a bloquejar el fitxer, la qual cosa impediria l'execució de scripts de php, i crearia una denegació de servei en el sistema.
El CVE-2016-6897 es tracta d'una vulnerabilitat CSRF(Cross Site Request Forgery) que podria permetre a un atacant remot sense autenticar realitzar accions com un usuari autenticat, si aconseguira que la víctima carregara una pàgina html específicament modificada per a tal efecte.
Sistemes Afectats:Actualització a la nova versió 4.6
Referències:CVE-2016-6896,CVE-2016-6897
Solució:Actualització a la nova versió 4.6
Notes:WordPress 4.6 “Pepper” : https://wordpress.org/news/2016/08/pepper/