Skip to content
Posted by deweloper Noticias

WordPress 4.7.3 ya disponible, actualiza ahora

Wordpress 4.7.3 ya disponible, actualiza ahora

Ha sido lanzada la última versión del popular CMS WordPress. La versión 4.7.3 soluciona diferentes problemas de seguridad en el core de WordPress -entre ellos varios XSS- así que es recomendable que actualices a la nueva versión lo antes posible.

Si nos remontamos a las últimas versiones de WordPress publicadas, recordaremos que la versión 4.7.2 fue publicada en Enero de este año para solucionar el ya conocido como defacementvulnerability. La versión anterior había sido presentada también en Enero y corregía, principalmente, una vulnerabilidad en PHPMailer.

Vulnerabilidades XSS corregidas en WordPress 4.7.3

Esta nueva versión del componente resuelve las siguientes vulnerabilidades de tipo Cross Site Scripting:

  • Cross-site scripting (XSS) mediante metadatos en archivos de medios
  • Cross-site scripting (XSS) mediante URL en vídeos de Youtube insertados
  • Cross-site scripting (XSS) mediante taxonomía de nombres

También se han resuelto otros fallos de seguridad en WordPress, entre ellos:

  • Caracteres de control pueden engañar en la validación de redirección de URL
  • Cross-site request Forgery (CSRF) en la opción «Press this», lo que conllevaría un uso excesivo de recursos en el servidor
  • Podrían ser eliminados archivos de forma inconsciente por medio del módulo de eliminación de plugins.

El listado completo de cambios está disponible aquí

Actualización que corrige otros problemas

WordPress 4.7.3 también contiene otras 39 actualizaciones para corregir otros problemas detectados en la plataforma (estos no están relacionados con la seguridad informática). Por ejemplo, se ha resuelto un problema que impedía subir ciertos tipos de archivo a WordPress en versiones Pre 4.7.2.

Es muy sencillo actualizar WordPress desde el apartado Panel (Dashboard) > Actualizaciones. Allí seleccionaremos «Actualizar ahora». Asímismo, os recuerdo que os sitios alojados en WordPress.com se mantienen siempre actualizados, así que no tenéis que hacer nada.

Conclusiones

El US-Cert y otras organizaciones ya han lanzado boletines en los que sugieren realizar una actualización inmediata (aunque deba testearse antes la estabilidad sobre entornos productivos, obviamente) por lo que está claro que hay que darle prioridad a esto, ya que en pocas semanas -o quizá días- podríamos ver los primeros exploits.

Categories

Noticias

Tags

, , ,

deweloper View All

Trabajo como consultor de ciberseguridad y me gusta lo que hago. Aficionado a la informática / tecnología en general, me gusta compartir con la gente lo poco que sé. También soy aficionado al deporte y los videojuegos.

Deja un comentario