WordPress lanza la actualización de vulnerabilidad de seguridad 6.02


WordPress lanzó una actualización que contiene correcciones de errores y parches de seguridad para tocar tres vulnerabilidades clasificadas como de gravedad grave a media.

Es posible que las actualizaciones se hayan descargado e instalado automáticamente, por lo que es esencial verificar si el sitio web se actualizó a 6.02 y si todo sigue funcionando con normalidad.

Corrección de errores

La actualización contiene doce correcciones para el núcleo de WordPress y cinco para el editor de bloques.

Una cambio notable es una mejora del Directorio de patrones, que está destinado a ayudar a los autores de temas a servir solo los patrones relacionados con sus temas.

El objetivo de este cambio es hacerlo más atractivo para que los autores de temas lo usen y presentar una mejor experiencia de usuario a los editores.

“Muchos autores de temas quieren tener todos los patrones centrales y remotos deshabilitados de forma predeterminada mediante remove_theme_support(‘core-block-patterns’). Esto garantiza que solo estén sirviendo patrones relevantes para su tema a los clientes/clientes.

Este cambio hará que el Directorio de patrones sea más atractivo/utilizable desde la perspectiva del autor del tema”.

Tres parches de seguridad

La primera vulnerabilidad se describe como una vulnerabilidad de inyección SQL de alta gravedad.

Una vulnerabilidad de inyección SQL permite a un atacante consultar la base de datos que sustenta el sitio web y agregar, ver, eliminar o modificar datos confidenciales.

Según un informe de Wordfence, WordPress 6.02 corrige una vulnerabilidad de inyección SQL de vulnerabilidad de alta gravedad, pero la vulnerabilidad requiere privilegios administrativos para ejecutarse.

valla de palabras describió esta vulnerabilidad:

“La funcionalidad de enlace de WordPress, anteriormente conocida como “Marcadores”, ya no está habilitada de forma predeterminada en las nuevas instalaciones de WordPress.

Es posible que los sitios más antiguos aún tengan la funcionalidad habilitada, lo que significa que millones de sitios heredados son potencialmente vulnerables, incluso si ejecutan versiones más nuevas de WordPress.

Afortunadamente, descubrimos que la vulnerabilidad requiere privilegios administrativos y es arduo de explotar en una configuración predeterminada”.

Las vulnerabilidades segunda y tercera se describen como secuencias de comandos entre sitios almacenadas, una de las cuales se informa que no afecta a la «gran» mayoría de los editores de WordPress.

Momento JavaScript Fecha Biblioteca actualizada

Se solucionó una vulnerabilidad más, pero no formaba parte del núcleo de WordPress. Esta vulnerabilidad es para una biblioteca de datos de JavaScript llamada Moment que usa WordPress.

A la vulnerabilidad de la biblioteca de JavaScript se le asignó un número CVE y los detalles están disponibles en la Base de Datos Nacional de Vulnerabilidad del gobierno de los Estados Unidos. Está documentado como una corrección de errores en WordPress.

Qué hacer

La actualización debería implementarse automáticamente en los sitios desde la versión 3.7.

Puede ser útil verificar si el sitio funciona correctamente y si no hay conflictos con el tema actual y los complementos instalados.


Citas

Versión de seguridad y mantenimiento de WordPress Core 6.0.2: lo que necesita saber

Permitir el registro de patrones remotos en theme.json cuando los patrones principales están deshabilitados.

Imagen destacada de Shutterstock/Krakenimages.com





Consultar el artículo en la publicación original

WordPress lanza la actualización de vulnerabilidad de seguridad 6.02
A %d blogueros les gusta esto: