WordPress arregla problema critico de inyeccion de objetos PHP

La última versión de seguridad de WordPress corrige un problema de inyección de objetos PHP que se puede explotar de forma remota con una puntuación de base crítica de 10.0 que posiblemente permita a los atacantes remotos ejecutar código arbitrario en el sistema de destino.

"Sam Thomas descubrió que los colaboradores podrían crear metadatos de una manera que resultó en la inyección de objetos PHP", dice el equipo de Wordpress.

Según The OWASP Foundation, "la inyección de objetos PHP es una vulnerabilidad de nivel de aplicación que podría permitir a un atacante realizar diferentes tipos de ataques maliciosos, como la inyección de código, la inyección SQL, la ruta de acceso y la denegación de servicio de la aplicación, según el contexto".

Este tipo de vulnerabilidad reside en el saneamiento incorrecto de la entrada del usuario antes de que se pase para su procesamiento a la función PHP unserialize ().

En el caso del problema de seguridad solucionado en la versión de WordPress 5.0.1 , los posibles atacantes que comprometen con éxito un sistema de destino podrían ejecutar código arbitrario.

Se recomienda a todos los usuarios de WordPress que actualicen a la versión 5.0.1 para bloquear posibles ataques que podrían conducir a una condición de inyección de objetos PHP.

Wordpress 5.0.2 también corrige múltiples XSS y las restricciones evitan las vulnerabilidades

Wordpress 5.0.1 también corrige dos restricciones de seguridad que evitan las vulnerabilidades que podrían permitir a los atacantes remotos eludir las restricciones de seguridad en el sistema atacado y crear publicaciones con información especialmente diseñada.

Además, esta versión de seguridad solucionó tres problemas de secuencias de comandos entre sitios (XSS) que potencialmente podrían conducir a robo de información confidencial, ataques de unidad por descarga, página web de eliminación de sitios web y ataques de phishing.

La publicación del blog de lanzamiento de seguridad de WordPress dice que "las entradas de URL especialmente diseñadas podrían conducir a una vulnerabilidad de scripts entre sitios en algunas circunstancias. WordPress en sí no se vio afectado, pero los complementos podrían estar en algunas situaciones".

Los atacantes remotos podrían dirigirse a los servidores web que ejecutan versiones de WordPress sin parches para aprovechar una vulnerabilidad de divulgación de información para acceder a direcciones de correo electrónico y contraseñas predeterminadas.

"El equipo de Yoast descubrió que los motores de búsqueda podrían indexar la pantalla de activación del usuario en algunas configuraciones poco comunes, lo que provocaría la exposición de las direcciones de correo electrónico y, en algunos casos raros, las contraseñas generadas por defecto", agregó el equipo de WordPress.

Fecha actualización el 2021-12-14. Fecha publicación el 2018-12-14. Categoría: wordpress Autor: Oscar olg Mapa del sitio Fuente: softpedia
wordpress