WordPress 5.0.1, actualización de seguridad

Ya está disponible WordPress 5.0.1. Es una actualización de seguridad para todas las versiones desde WordPress 3.7. Te recomendamos encarecidamente que actualices tus sitios inmediatamente.

Se recomienda a los autores de plugins que lean las notas para desarrolladores de la versión 5.0.1 para obtener información sobre la compatibilidad con versiones anteriores.

Las versiones 5.0 y anteriores de WordPress están afectadas por los siguientes errores, que se han corregido en la versión 5.0.1. Las versiones actualizadas de WordPress 4.9 y versiones anteriores también están disponibles, para los usuarios que aún no han actualizado a la versión 5.0.

Gracias a todos los que han informado, por revelar en privado las vulnerabilidades, lo que nos dio tiempo para arreglarlas antes de que los sitios WordPress pudieran ser atacados.

  • Karim El Ouerghemmi descubrió que los autores podían alterar metadatos para borrar archivos para los que no estaban autorizados.
  • Simon Scannell de RIPS Technologies descubrió que los autores podían crear mensajes de tipos de mensajes no autorizados con información especialmente diseñada.
  • Sam Thomas descubrió que los contribuidores podían crear meta datos de modo que resulte en una inyección de objetos PHP.
  • Tim Coen descubrió que los contribuidores podían editar nuevos comentarios de usuarios con mayores privilegios, lo que potencialmente generaría a una vulnerabilidad de secuencias de comandos entre sitios.
  • Tim Coen también descubrió que las entradas de URL especialmente diseñadas podrían conducir a una vulnerabilidad de secuencias de comandos entre sitios en algunas circunstancias. WordPress en sí no se vio afectado, pero los plugins pueden estarlo en algunas situaciones.
  • El equipo Yoast descubrió que la pantalla de activación de usuarios podía ser indexada por los motores de búsqueda en algunas configuraciones poco comunes, lo que llevaba a la exposición de las direcciones de correo electrónico, y en algunos casos raros, contraseñas generadas por defecto.
  • Tim Coen y Slavco descubrieron que los autores de sitios servidos por Apache podían subir archivos específicamente diseñados para evitar la verificación MIME, lo que provocaba una vulnerabilidad de scripting entre sitios.

Descarga WordPress 5.0.1, o ve a «Escritorio → Actualizaciones» y haz clic en «Actualizar ahora». Los sitios compatibles con actualizaciones automáticas en segundo plano ya están comenzando a actualizarse automáticamente.

Además de los investigadores de seguridad mencionados anteriormente, gracias a todos los que contribuyeron a WordPress 5.0.1:

Alex ShielsAlex ConchaAnton TimmermansAndrew OzzAaron CampbellAndrea MiddletonBen BidnerBarry AbrahamsonChris ChristoffDavid NewmanDemitrious KellyDion HulseHannah NotessGary PendergastHerre GroenIan DunnJeremy FeltJoe McGillJohn James JacobyJonathan DesrosiersJosepha HadenJoost de ValkMo JangdaNick DaughertyPeter WilsonPascal BirchlerSergey Biryukov y Valentyn Pylypchuk.

3 pensamientos en “WordPress 5.0.1, actualización de seguridad

  1. Pienso igual que el usuario anterior!!!

    Dejo de funcionar el WPBakery en Backend la verdad no me gusta para nada. Imagino que podrán volver a habilitar la opción WPBakery para trabajar en Backend.

Deja un comentario

This site uses Akismet to reduce spam. Learn how your comment data is processed.