Wordpress 4.7.3 ya disponible, actualiza ahora

WordPress 4.7.3 ya disponible, actualiza ahora

Ha sido lanzada la última versión del popular CMS WordPress. La versión 4.7.3 soluciona diferentes problemas de seguridad en el core de WordPress -entre ellos varios XSS- así que es recomendable que actualices a la nueva versión lo antes posible.

Si nos remontamos a las últimas versiones de WordPress publicadas, recordaremos que la versión 4.7.2 fue publicada en Enero de este año para solucionar el ya conocido como defacementvulnerability. La versión anterior había sido presentada también en Enero y corregía, principalmente, una vulnerabilidad en PHPMailer.

Vulnerabilidades XSS corregidas en WordPress 4.7.3

Esta nueva versión del componente resuelve las siguientes vulnerabilidades de tipo Cross Site Scripting:

  • Cross-site scripting (XSS) mediante metadatos en archivos de medios
  • Cross-site scripting (XSS) mediante URL en vídeos de Youtube insertados
  • Cross-site scripting (XSS) mediante taxonomía de nombres

También se han resuelto otros fallos de seguridad en WordPress, entre ellos:

  • Caracteres de control pueden engañar en la validación de redirección de URL
  • Cross-site request Forgery (CSRF) en la opción “Press this”, lo que conllevaría un uso excesivo de recursos en el servidor
  • Podrían ser eliminados archivos de forma inconsciente por medio del módulo de eliminación de plugins.

El listado completo de cambios está disponible aquí

Actualización que corrige otros problemas

WordPress 4.7.3 también contiene otras 39 actualizaciones para corregir otros problemas detectados en la plataforma (estos no están relacionados con la seguridad informática). Por ejemplo, se ha resuelto un problema que impedía subir ciertos tipos de archivo a WordPress en versiones Pre 4.7.2.

Es muy sencillo actualizar WordPress desde el apartado Panel (Dashboard) > Actualizaciones. Allí seleccionaremos “Actualizar ahora”. Asímismo, os recuerdo que os sitios alojados en WordPress.com se mantienen siempre actualizados, así que no tenéis que hacer nada.

Conclusiones

El US-Cert y otras organizaciones ya han lanzado boletines en los que sugieren realizar una actualización inmediata (aunque deba testearse antes la estabilidad sobre entornos productivos, obviamente) por lo que está claro que hay que darle prioridad a esto, ya que en pocas semanas -o quizá días- podríamos ver los primeros exploits.

Deja tu comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s