WordPress anunció una versión de seguridad y mantenimiento, la versión 5.8.1. Es importante actualizar WordPress, especialmente las versiones 5.4 a 5.8 para solucionar tres problemas de seguridad.
Versión de seguridad y mantenimiento de WordPress 5.8.1
No es raro que WordPress o cualquier software publique una actualización de corrección de errores después de una actualización de versión principal para solucionar problemas imprevistos e introducir mejoras que no llegaron a tiempo para la versión principal.
En WordPress, esas actualizaciones se denominan versión de mantenimiento.
Esta actualización también incluye una actualización de seguridad, que es algo poco común para el núcleo de WordPress. Eso hace que esta actualización sea más importante que la versión de mantenimiento típica.
Anuncio publicitario
Continuar leyendo a continuación
Problemas de seguridad de WordPress solucionados
WordPress 5.8.1 corrige tres vulnerabilidades:
- Una vulnerabilidad de exposición de datos dentro de la API REST
- Vulnerabilidad de Cross-Site Scripting (XSS) en el editor de bloques de Gutenberg
- Varias vulnerabilidades críticas a de alta gravedad en la biblioteca de JavaScript de Lodash
Las tres vulnerabilidades anteriores son tan preocupantes que el anuncio de WordPress recomienda actualizar inmediatamente las instalaciones de WordPress.
Vulnerabilidad de la API REST
La API REST de WordPress es una interfaz que permite que los complementos y temas interactúen con el núcleo de WordPress.
La API REST ha sido una fuente de vulnerabilidades de seguridad, incluida la más reciente con la Biblioteca de plantillas de Gutenberg y vulnerabilidad de Redux Framework que afectó a más de un millón de sitios web.
Anuncio publicitario
Continuar leyendo a continuación
Esta vulnerabilidad se describe como una vulnerabilidad de exposición de datos, lo que significa que podría revelarse información confidencial. No hay otros detalles en este momento con respecto a qué tipo de información, pero podría ser tan grave como las contraseñas a los datos que podrían usarse para montar un ataque a través de otra vulnerabilidad.
Vulnerabilidad de WordPress Gutenberg XSS
Las vulnerabilidades de Cross-Site Scripting (XSS) ocurren con relativa frecuencia. Pueden suceder siempre que haya una entrada de usuario como un formulario de contacto o correo electrónico, cualquier tipo de entrada que no esté «desinfectada» para evitar la carga de scripts que pueden desencadenar un comportamiento no deseado en la instalación de WordPress.
El Proyecto de seguridad de aplicaciones web abiertas (OWASP) describe el potencial daño de las vulnerabilidades XSS:
“Un atacante puede usar XSS para enviar un script malicioso a un usuario desprevenido. El navegador del usuario final no tiene forma de saber que no se debe confiar en el script y lo ejecutará.
Debido a que cree que el script proviene de una fuente confiable, el script malicioso puede aceptar a las cookies, tokens de sesión u otra información confidencial retenida por el navegador y utilizada con ese sitio. Estos scripts pueden incluso reescribir el contenido de la página HTML «.
Esta vulnerabilidad específica afecta al editor de bloques de Gutenberg.
Anuncio publicitario
Continuar leyendo a continuación
Vulnerabilidades de la biblioteca JavaScript Lodash de WordPress
Estas vulnerabilidades pueden ser las más preocupantes. La biblioteca de JavaScript de Lodash es un conjunto de scripts utilizados por desarrolladores que se ha encontrado que tienen múltiples vulnerabilidades.
La última y más segura versión es Lodash 4.17.21.
El sitio web de la Lista CVE patrocinada por el Departamento de Seguridad Nacional de EE. UU. detalla la vulnerabilidad:
«Las versiones de Lodash anteriores a 4.17.21 son vulnerables a la inyección de comandos a través de la función de plantilla».
Parece haber muchas otras vulnerabilidades afectando también a la biblioteca Lodash en la rama 4.1.7.
WordPress insta a una actualización inmediata
Estas vulnerabilidades de seguridad añaden un sentido de urgencia a esta actualización. Todos los editores son recomendados por WordPress para actualizar.
Anuncio publicitario
Continuar leyendo a continuación
El anuncio oficial de WordPress recomienda actualizar:
“Debido a que se trata de una versión de seguridad, se recomienda que actualice sus sitios de inmediato. Todas las versiones desde WordPress 5.4 también se han actualizado «.
Citas
Consultar el artículo en la publicación original
