Actualización de seguridad para WordPress
Se ha publicado la versión 4.4.2 de WordPress destinada a solucionar dos nuevas vulnerabilidades.
WordPress es un sistema de gestión de contenidos enfocado a la creación de blogs desarrollado en PHP y MySQL, ampliamente usado en la comunidad de bloggers debido a su facilidad de uso y sus características como gestor de contenidos.
Esta actualización incluye la corrección de una vulnerabilidad de SSRF(«Server Side Request Forgery«) para determinadas URIs locales. Este tipo de vulnerabilidades pueden permitir a un atacante evitar controles de acceso (como firewalls) y acceder a datos de la red interna a los que no podría acceder directamente. Por ejemplo, un atacante podría acceder a documentos del sistema (empleando file://) o mediante otros protocolos.
Por otra parte, se corrige una segunda vulnerabilidad consistente en una redirección abierta. Un atacante podría explotar esta vulnerabilidad mediante una URL específicamente creada para redireccionar a la víctima a sitios web arbitrarios.
Además está versión contiene la corrección de otros 17 fallos no relacionados directamente con problemas de seguridad.
Dada la importancia de los problemas corregidos se recomienda la actualización de los sistemas a la versión 4.4.2 disponible desde:
https://wordpress.org/download/
O bien desde el dashboard, Actualizaciones (Updates), Actualizar Ahora (Update Now). Los sitios que soporten actualizaciones automáticas ya han iniciado la actualización a WordPress 4.4.2.
Más información:
WordPress 4.4.2 Security and Maintenance Release
https://wordpress.org/news/2016/02/wordpress-4-4-2-security-and-maintenance-release/
CWE-918: Server-Side Request Forgery (SSRF)
https://cwe.mitre.org/data/definitions/918.html
CWE-601: URL Redirection to Untrusted Site (‘Open Redirect’)
https://cwe.mitre.org/data/definitions/601.html
Fuente: http://unaaldia.hispasec.com/2016/
Fecha de consulta: 04 Febrero 2016
