Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
29/06/2012
Actualización de seguridad 3.4.1 de WordPress
Esta actualización resuelve varios bugs y vulnerabilidades. Una de ellas, la más crítica, permite a administradores y editores, en instalaciones multisite, utilizar unfiltered_html.La nueva versión de WordPress resuelve 18 bugs y las siguientes vulnerabilidades:
- Vulnerabilidad de escalado de privilegios y XSS (crítica): administradores y editores en instalaciones multisite podían, en la versión anterior, utilizar unfiltered_html.
- Vulnerabilidad de CSRF.
- Revelación de información, concretamente de los posts privados y borradores (drafts) de autores y contribuidores.
Estas vulnerabilidades podían permitir, entre otros, escalado de privilegios, revelación y robo de información confidencial, realización de acciones sin consentimiento, etc.
En cuanto a nuevas medidas de bastionado (hardening) WordPress 3.4.1 incluye:
- La función wp_explain_nonce pasa a estado deprecated, tiene previsto eliminarse en futuras versiones, porque podría revelar información innecesariamente.
- En la nueva versión se requiere que un tema hijo sea activado junto con su tema padre.
WordPress 3.4.0.
None
Solución:Descarge la versión de WordPress 3.4.1 o actualice automáticamente desde el menú [Dashboard (Escritorio) -> Updates menu (Menú de actualizaciones]".
Antes de realizar la actualización se debe realizar una copia de seguridad de la base de datos y de los ficheros de WordPress. Por otro lado, para evitar problemas en el proceso de actualización, es recomendable desactivar todos los plugins y activar uno de los temas que están incorporados en Wordpress por defecto.
Notas: