Ya está disponible WordPress 5.0.1. Es una actualización de seguridad para todas las versiones desde WordPress 3.7. Te recomendamos encarecidamente que actualices tus sitios inmediatamente.
Se recomienda a los autores de plugins que lean las notas para desarrolladores de la versión 5.0.1 para obtener información sobre la compatibilidad con versiones anteriores.
Las versiones 5.0 y anteriores de WordPress están afectadas por los siguientes errores, que se han corregido en la versión 5.0.1. Las versiones actualizadas de WordPress 4.9 y versiones anteriores también están disponibles, para los usuarios que aún no han actualizado a la versión 5.0.
Gracias a todos los que han informado, por revelar en privado las vulnerabilidades, lo que nos dio tiempo para arreglarlas antes de que los sitios WordPress pudieran ser atacados.
- Karim El Ouerghemmi descubrió que los autores podían alterar metadatos para borrar archivos para los que no estaban autorizados.
- Simon Scannell de RIPS Technologies descubrió que los autores podían crear mensajes de tipos de mensajes no autorizados con información especialmente diseñada.
- Sam Thomas descubrió que los contribuidores podían crear meta datos de modo que resulte en una inyección de objetos PHP.
- Tim Coen descubrió que los contribuidores podían editar nuevos comentarios de usuarios con mayores privilegios, lo que potencialmente generaría a una vulnerabilidad de secuencias de comandos entre sitios.
- Tim Coen también descubrió que las entradas de URL especialmente diseñadas podrían conducir a una vulnerabilidad de secuencias de comandos entre sitios en algunas circunstancias. WordPress en sí no se vio afectado, pero los plugins pueden estarlo en algunas situaciones.
- El equipo Yoast descubrió que la pantalla de activación de usuarios podía ser indexada por los motores de búsqueda en algunas configuraciones poco comunes, lo que llevaba a la exposición de las direcciones de correo electrónico, y en algunos casos raros, contraseñas generadas por defecto.
- Tim Coen y Slavco descubrieron que los autores de sitios servidos por Apache podían subir archivos específicamente diseñados para evitar la verificación MIME, lo que provocaba una vulnerabilidad de scripting entre sitios.
→ Actualizaciones» y haz clic en «Actualizar ahora». Los sitios compatibles con actualizaciones automáticas en segundo plano ya están comenzando a actualizarse automáticamente. (opens in a new tab)» href=»https://es.wordpress.org/download/» target=»_blank»>Descarga WordPress 5.0.1, o ve a «Escritorio Actualizaciones» y haz clic en «Actualizar ahora». Los sitios compatibles con actualizaciones automáticas en segundo plano ya están comenzando a actualizarse automáticamente.
Además de los investigadores de seguridad mencionados anteriormente, gracias a todos los que contribuyeron a WordPress 5.0.1:
Alex Shiels, Alex Concha, Anton Timmermans, Andrew Ozz, Aaron Campbell, Andrea Middleton, Ben Bidner, Barry Abrahamson, Chris Christoff, David Newman, Demitrious Kelly, Dion Hulse, Hannah Notess, Gary Pendergast, Herre Groen, Ian Dunn, Jeremy Felt, Joe McGill, John James Jacoby, Jonathan Desrosiers, Josepha Haden, Joost de Valk, Mo Jangda, Nick Daugherty, Peter Wilson, Pascal Birchler, Sergey Biryukov y Valentyn Pylypchuk.
Deja una respuesta
Lo siento, debes estar conectado para publicar un comentario.