Corrigen múltiples vulnerabilidades en WordPress 4.3.1

La administración de WordPress han lanzado una actualización de seguridad para el sistema de gestión de contenidos (CMS) que fija tres vulnerabilidades. A través de las vulnerabilidades que un atacante podría tomar el control de la página web, según ha informado a la preparación del equipo Computer Emergency Response (CERT) de Estados Unidos. También hay actualizaciones disponibles para los CMS Joomla, Drupal, el sistema de foros phpBB y el lenguaje PHP.

Actualización de seguridad para WordPress

Se ha publicado la versión 4.3.1 de WordPress que soluciona dos nuevas vulnerabilidades de cross-site scripting y una de escalada de privilegios. Wordpress es un sistema de gestión de contenidos enfocado a la creación de blogs desarrollado en PHP y MySQL, ampliamente usado en la comunidad de bloggers debido a su facilidad de uso y sus características como gestor de contenidos.

Esta actualización incluye la corrección de dos vulnerabilidades de cross-site scripting; una al procesar etiquetas shortcode (CVE-2015-5714) y otra en la tabla de listado de usuarios. Por otra parte, en determinados casos, usuarios sin permisos adecuados podrían realizar publicaciones privadas y hacerlas pegajosas ("sticky") (CVE-2015-5715).

Además está versión contiene la corrección de otros 26 fallos no relacionados directamente con problemas de seguridad.

Dada la importancia de los problemas corregidos se recomienda la actualización de los sistemas a la versión 4.3.1 disponible desde:

• https://wordpress.org/download/

O bien desde el dashboard, Actualizaciones (Updates), Actualizar Ahora (Update Now). Los sitios que soporten actualizaciones automáticas ya han iniciado la actualización a WordPress 4.3.1.

Más información:

WordPress 4.3.1 Security and Maintenance Release
https://wordpress.org/news/2015/09/wordpress-4-3-1/

Estos incluyen dos vulnerabilidades de cross-site scripting y una fuga que permite a los usuarios sin privilegios  ni derechos suficientes podían publicar y podrían hacer pegajoso.

Además hay 26 correcciones de errores no relacionados con la seguridad. Los usuarios deberán ir a WordPress 4.3.1 y  actualizar.

Según cifras de W3Techs es WordPress está instalado en un 24,4% de todos los sitios web en uso. Recientemente en Internet, se reveló que millones de sitios web que utilizan WordPress que ejecuta una versión vulnerables. Esto significa que pueden ser hackeado y se podrían utilizar para propagar malware.

Fuente:
http://unaaldia.hispasec.com/2015/09/actualizacion-de-seguridad-para_16.html

Drupal CMS

Se han publicado dos nuevas versiones de Drupal catalogadas como actualizaciones de seguridad críticas. Se recomienda actualizar a la mayor brevedad.

Noticia oficial | Detalles 7.39 | Detalles 6.37

Joomla CMS

Joomla ha publicado una nueva versión de su CMS que entre otras mejoras y nuevas funcionalidades, corrige un XSS en su "Core" catalogado como de prioridad baja.

Más información | Anuncio original

Foro phpBB

phpBB publicó una versión catalogada como de seguridad y mantenimiento para su rama 3.1. La actualización está considerada como de mantenimiento y de seguridad menor. Se corrige un par de errores de versiones anteriores e incluye un par de novedades.

Noticia original | Descarga 3.1.6 | Notas de la versión

PHP

PHP ha publicado actualizaciones para las ramas 5.6, 5.5 y 5.4 para solucionar múltiples vulnerabilidades que pueden ser aprovechadas para provocar denegaciones de servicio y comprometer los sistemas afectados.

Fuente:
http://blog.segu-info.com.ar/2015/09/actualizaciones-de-wordpress-drupal.html