El miércoles 11 de enero la última versión de WordPress 4.7.1 fue lanzado por el equipo de WordPress, se clasifica como una versión de seguridad para todas las versiones anteriores. Según el comunicado de notas, la nueva versión soluciona ocho fallos de seguridad y otros 62 bugs.
Según el equipo de WordPress, la versión anterior de WordPress 4.7 ha sido descargado más de 10 millones de veces desde su lanzamiento el 6 de diciembre de 2016.La biblioteca PHPMailer se ha actualizado para parchear una ejecución remota de código (RCE) vulnerabilidad, rastreado como CVE-2.016 a 10.033. Aaron D. Campbell, WordPress desarrollador del núcleo, dice que "No hay problema que parece impedir que WordPress o cualquiera de los principales plugins que investigamos, pero, de un exceso de precaución, se actualiza PHPMailer en esta versión".
Los expertos, Brian Krogsgård y Chris Jean, descubrieron que la API REST "expone los datos de todos los usuarios que habían escrito un mensaje de un tipo de cargo público ."
La nueva versión se dirige a dos vulnerabilidades de cross-site scripting (XSS) en los plugins de WordPress.
- La primera: "Cross-site scripting (XSS) a través del nombre del plugin o encabezado versión en la actualización-core.php. Reportado por Dominik Schilling del Equipo de Seguridad WordPress."
- La segunda: El XSS reside en el "nombre del tema de repliegue" y se informó por Mehmet Ince.
Entre los problemas corregidos por el equipo de WordPress, hay también dos vulnerabilidades de cross-site falsificación de petición (CSRF).
El bypass CSRF mediante la carga de un archivo Flash fue reportado por Abdullah Hussam , mientras que Ronnie Skansing reportó un CSRF en el modo de accesibilidad de la edición del widget.
Los investigadores explicaron que uno de los temas identificado por Abdullah Hussam puede ser explotado a través de un archivo Flash especialmente diseñado, mientras que el otro afecta el modo de accesibilidad de la edición del widget, reportado por Ronnie Skansing.
La nueva versión también corrige una débil seguridad criptográfica relacionada con la clave de activación de múltiples sitios descubierto por Jack.
Otro problema fue descubierto por John Blackbourn del equipo de seguridad de WordPress, es un puesto a través de los controles de correo electrónico mail.example.com si la configuración predeterminada no se cambian.
"Descarga WordPress 4.7.1 o aventurarse al panel → Actualizaciones y simplemente haga clic en" Actualizar ahora. "Los sitios que admiten actualizaciones automáticas a fondo ya están empezando a actualizar a WordPress 4.7.1", afirma el asesor.
Un informe publicado recientemente por la empresa sucuri de seguridad afirma que WordPress sigue siendo el CMS más pirateado.
Fecha actualización el 2017-1-14. Fecha publicación el 2017-1-14. Categoría: Wordpress. Autor: Oscar olg Mapa del sitio