El equipo de desarrollo de WordPress acaba de anunciar que se encuentra disponible la actualización de seguridad 5.4.2 la cual soluciona 6 problemas de peligrosidad alta, por lo que se recomienda su inmediata actualización.
Los seis problemas de seguridad que han sido detectados afectan a las versiones 5.4.1 y anteriores y son solucionados por la versión ahora liberada 5.4.2. Para aquellos sitios que no hayan sido actualizados desde la versión 5.3, dada la gravedad de la brecha de seguridad detectada, también se ha publicado una actualización.
Los seis problemas de seguridad solucionados son:
- Vulnerabilidad de tipo Cross-site Scripting (XSS) por la cual, usuarios con permisos de bajo nivel, podrían añadir código Java Script en los post a través del editor de bloques.
- Vulnerabilidad de tipo Cross-site Scripting (XSS) por la cual, usuarios con permisos de bajo nivel, podrían añadir código JavaScript en los archivos de medios (imágenes, vídeos, contenido embebido, etc).
- Redirección abierta en la función wp_validate_redierct().
- Vulnerabilidad de tipo Cross-site Scripting en la autenticación durante la carga de temas.
- Vulnerabilidad en la función set-screen-option que puede ser utilizada por los plugins para ganar privilegios dentro de nuestro sitio.
- Vulnerabilidad detectada en el sistema de comentarios que podría hacer que los comentarios realizados en post protegidos por contraseña lleguen a ser mostrado en diversas circunstancias.
Como ya hemos comentado anteriormente, estas vulnerabilidades han sido calificadas de peligrosidad alta, por lo que se recomienda actualizar el sistema lo antes posible. Al tratarse de una actualización de seguridad, si tenemos activadas las actualizaciones automáticas, ésta se realizará sin que tengamos que hacer nada. En caso contrario, podremos aplicar la actualización con un sólo clic de ratón desde el dashboard de nuestra instalación.
La vulnerabilidad ha sido detectada y se han aplicado las medidas necesarias para corregirlas. Ahora está de nuestra mano proteger nuestro sistema y a nuestros usuarios. Recuerda que la gran mayoría de problemas de seguridad se producen por una falta de mantenimiento del software que gestiona nuestro sitio o aplicación. No lo dejes, no te llevará más de unos pocos minutos.
La actualización de WordPress 5.4.2 también incluye la solución a diversos bugs que han sido reportados desde la versión anterior.
Podemos encontrar toda la información sobre esta actualización de seguridad en el sitio web de WordPress y en la página del INCIBE.