Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Buscador

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Foro de elhacker.net - Noticias

elhacker.NET en Facebook

Entradas populares

PostHeaderIcon Nueva actualización de seguridad para WordPress




Se ha publicado la versión 4.7.2 de WordPress destinada a solucionar tres vulnerabilidades, que podrían permitir realizar ataques de cross-site scripting, exponer información o posibilitar la realización de inyección SQL. Es una actualización de seguridad para todas las versiones y te animamos encarecidamente a actualizar tus sitios de inmediato.





WordPress es la presa predilecta de los ciberataques

Gran cantidad de usuarios que desarrollan sitios web utilizan aplicaciones conocidas como sistemas de gestión de contenidos (CMS, en inglés). Entre los más conocidos podríamos nombrar a Blogger, Drupal, Joomla y WordPress, este último quizá el más usado y, por tal motivo, el más atacado
  • Fecha de publicación: 27/01/2017
  • Importancia:  5 - Crítica

Wordpress es un sistema de gestión de contenidos enfocado a la creación de blogs desarrollado en PHP y MySQL, ampliamente usado en la comunidad de bloggers debido a su facilidad de uso y sus características como gestor de contenidos.

Hace menos de dos semanas que se publicó la versión 4.7.1, sin embargo se publica una nueva actualización para corregir nuevos problemas detectados. El primero reside en que la interfaz de usuario para asignar los términos de una taxonomía en Press This se muestra a usuarios que no tienen permisos para ello. Por otra parte, WP_Query es vulnerable a una inyección SQL al tratar datos inseguros. El aviso señala que el núcleo de WordPress no se ve afectado directamente por este problema, pero se han añadido medidas de seguridad para evitar que plugins y temas puedan verse afectados. Por último, un cross-site scripting (XSS) en la tabla de lista de posts.

Ya está disponible WordPress 4.7.2. Es una actualización de seguridad para todas las versiones y te animamos encarecidamente a actualizar tus sitios de inmediato.

Las versiones de WordPress 4.7.1 y anteriores están afectadas por estos tres problemas de seguridad:
  1. La interfaz de usuario en la que se asignan términos a taxonomías en Publicar esto se muestra a usuarios que no tienen permisos para usarlas. Informado por David Herrera de Alley Interactive.
  2. WP_Query rs vulnerable a una inyección SQL (SQLi) al pasar datos no seguros. El núcleo de WordPress no es vulnerable directamente a este problema pero hemos añadido refuerzo para evitar que plugins y temas puedan provocar accidentalmente una vulnerabilidad. Informado por Mo Jangda (batmoo).
  3. Se ha descubierto una vulnerabilidad de cross-site scripting (XSS) en la tabla de lista de entradas. Informado por Ian Dunn del equipo de seguridad de WordPress.


Se recomienda la actualización de los sistemas a la versión 4.7.2 disponible desde:

O bien desde el dashboard, Actualizaciones (Updates), Actualizar Ahora (Update Now). Los sitios que soporten actualizaciones automáticas ya han iniciado la actualización a WordPress 4.5.2.

Algunas de las recomendaciones que podemos mencionar a la hora de contar con WordPress son:
  • Actualizar WordPress, complementos y temas
  • No tener más de un CMS en un mismo servidor
  • Instalar complementos conocidos y de confianza
  • Usar temas de WordPress seguros y de confianza
  • Utilizar contraseñas robustas

0-day muy grave oculto en WordPress

WordPress ocultó en su última actualización la corrección de una grave vulnerabilidad 


El problema, que fue descubierto por Sucuri y reportado a WordPress de forma responsable, reside en la API REST. El propio equipo de Securi afirma que el equipo de seguridad de WordPress lo gestionó "extremadamente bien". También confirma que la misma versión 4.7.2 incluye la corrección de otros problemas menos graves. 

Securi ha publicado los detalles técnicos del problema que mediante el envío de una petición específicamente manipulada cualquier atacante puede modificar el contenido de una publicación en el sitio web. Tras ello, incluso puede añadir algún pequeño código específico para un plugin para explotar otros fallos que normalmente están restringidos a usuarios con privilegios. Un atacante podrá emplear el compromiso para spam SEO, inyectar anuncios o incluso ejecutar código php. Todo dependerá de los plugins habilitados.
También hay que señalar que debido a la forma en que fue comunicado y corregido, no hay ninguna evidencia de que la vulnerabilidad haya sido aprovechada en ataques reales.


Fuentes:
http://unaaldia.hispasec.com/2017/01/nueva-actualizacion-de-seguridad-para.html
https://www.incibe.es/protege-tu-empresa/avisos-seguridad/actualizacion-seguridad-wordpress-472
http://unaaldia.hispasec.com/2017/02/wordpress-oculto-la-correccion-de-una.html

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.