Publicado el

Se han solucionado cuatro problemas de seguridad en WordPress

Introducción

El 6 de Enero se publicaron 4 vulnerabilidades en WordPress de tipo XSS almacenado, inyección de objetos e inyección SQL [1].

 

Análisis

Las vulnerabilidades publicadas afectan a las versiones de WordPress entre la 3.7 y la 5.8, y son las siguientes:

      • XSS almacenado a través de post slugs [2]
      • Inyección de objetos en algunas instalaciones Multisite [3]
      • Vulnerabilidad de inyección SQL en WP_Query [4]
      • Vulnerabilidad de inyección SQL en WP_Meta_Query (sólo relevante para las versiones 4.1-5.8) [5]

 

Recomendaciones

Estas vulnerabilidades ya se han subsanado en la versón WordPress 5.8.3 por lo que se recomienda su instalación [6].

Si aún no has actualizado a la versión 5.8, todas las versiones de WordPress desde la 3.7 también se han actualizado para solucionar el siguiente problema de seguridad (salvo que se indique lo contrario).

 

Referencias

[1] News – WordPress 5.8.3 Security Release – WordPress.org
[2] Permalinks & Slugs – WordPress.com Support
[3] What Is WordPress Multisite & When to Use It? – Pressable
[4] WP_Query | Class | WordPress Developer Resources
[5] WP_Meta_Query | Class | WordPress Developer Resources
[6] Version 5.8.3 | WordPress.org

Publicado el

Nueva actualización sobre vulnerabilidades en Java Log4j

Información

Se envía la siguiente actualización para informar que se ha publicado una nueva versión de Log4j, 2.17.1, en la cual se corrige una nueva vulnerabilidad detectada (CVE-2021-44832) de tipo ejecución de código remoto (RCE).

Esta vulnerabilidad que afecta a las versiones 2.0-beta7 hasta la 2.17.0, excluyendo las versiones 2.3.2 (Java 6) y 2.12.4 (Java 7), permitiría un ataque de ejecución de código remoto (RCE) a un atacante con permisos de modificación del fichero de configuración del log. Este atacante podría crear una configuración maliciosa usando un JDBC Appender con una fuente de datos que haga referencia a una URI JNDI que pueda ejecutar código remoto. Este fallo se ha resuelto en las versiones 2.17.1, 2.12.4 y 2.3.2 limitando los nombres de fuentes de datos JNDI al protocolo de JAVA de Log4j.


Recomendaciones

Para mitigar esta vulnerabilidad, se recomienda actualizar las versiones de la librería a la más reciente posible:

      • Log4j v2.17.1 (para Java 8 y posterior)
      • Log4j v2.12.4 (para Java 7)
      • Log4j v2.3.2 (para Java 6)


Referencias

https://nvd.nist.gov/vuln/detail/CVE-2021-44832
https://logging.apache.org/log4j/2.x/security.html

Publicado el

Tarjeta Navidad 2021 CSIRT-CV

Desde CSIRT-CV queremos desearos unas Felices Fiestas Navideñas.

En este año que acaba, los dispositivos tecnológicos han estado formando parte de nuestro día a día. Es por ello que desde CSIRT-CV, hemos querido dedicar nuestra última campaña del año a proporcionaros algunos consejos que mejorarán la ciberseguridad en el uso de los dispositivos domésticos.

Sigue los consejos desde nuestras redes sociales Facebook y Twitter. Puedes localizarla a través del hashtag #Ciberprotección.

Una vez finalizada la campaña, podrás leerla completa desde nuestra web concienciaT.

¡Feliz Navidad!

El equipo CSIRT-CV.

Tarjeta Navidad 2021_CSIRT-CV
Publicado el

Campaña CSIRT-CV: «Diez recomendaciones de ciberseguridad para equipos domésticos»

¿Eres consciente de los ciberriesgos que corres diariamente usando tus dispositivos portátiles? Si la respuesta es no, te conviene seguir los consejos que te vamos a dar en esta nueva campaña de CSIRT-CV que empieza hoy: “Diez recomendaciones de ciberseguridad para equipos domésticos”.

Durante la última década hemos observado un descenso de los precios de los equipos y componentes informáticos, lo que ha producido un aumento muy significativo de las ventas de equipos portátiles y después de los dos últimos años, con la pandemia por la COVID-19 el uso de equipos domésticos se ha generalizado aún más entre la población, e incluso en sectores que no estaban familiarizados con ellos.

Esta campaña tiene como objetivo abrir los ojos a todos aquellos usuarios que consultan su correo electrónico en una cafetería mientras toman un café, ven películas mientras esperan en el aeropuerto, se conectan a una red wifi gratuita o comparten su equipo con todos los miembros de su familia. Queremos que todos ellos sean conscientes de los peligros que corren y tomen medidas para proteger sus equipos y la información valiosa que tienen en ellos.

Podéis ampliar esta información a través de la siguiente página de GVA así como en nuestro portal de concienciación y formación: concienciaT, donde se publicarán todos los consejos y materiales relacionados con la campaña una vez que ésta finalice.

Mientras tanto, recuerda que cada día se publicará un consejo a través de nuestras redes sociales de Facebook y Twitter.