WordPress 4.6.1 – Actualización de seguridad y mantenimiento

Ya está disponible WordPress 4.6.1. Esta es una actualización de seguridad para todas las versiones anteriores y te animamos encarecidamente a actualizar todos tus sitios de inmediato.

Las versiones de WordPress 4.6 y previas están afectadas por dos problemas de seguridad: una vulnerabilidad XSS (cross-site scripting)  a través de los nombres de archivo de las imágenes, informada por el desarrollador de SumOfPwn Cengiz Han Sahin; y una vulnerabilidad transversal de las rutas en el cargador de paquetes de actualizaciones, informado por Dominik Schilling, del equipo de seguridad de WordPress.

Gracias a todos los que han informado por practicar la difusión responsable.

Además de los anteriores problemas de seguridad, WordPress 4.6.1 soluciona 15 fallos desde la versión 4.6. Para más información revisa las notas de la versión o consulta la lista de cambios.

Descarga WordPress 4.6.1 o ve a tu Dashboard → Actualizaciones y simplemente haz clic en “Actualizar ahora.” Los sitios compatibles con las actualizaciones automáticas en segundo plano ya están empezando a actualizarse a WordPress 4.6.1.

Gracias a todos los que han contribuido a la versión 4.6.1:

Andrew OzzbongerBoone GorgesChaos EngineDaniel Kanchev, Dion Hulse,Drew Jaynes, Felix ArntzFredrik ForsmoGary PendergastgeminorumIan Dunn,Ionut Stanciu, Jeremy Felt, Joe McGillMarius L. J. (Clorith)Pascal BirchlerRobert D PayneSergey Biryukov, y Triet Minh.

WordPress 4.5.3, actualización de mantenimiento y seguridad

Ya está disponible WordPress 4.5.3. Esta es una actualización de seguridad para todas las versiones anteriores, y te animamos encarecidamente a que actualices inmediatamente tus sitios.

Las versión de WordPress 4.5.2 y anteriores están afectadas por varios problemas de seguridad: vulnerabilidad de redirección ele personalizador, de la que informó Yassine Aboukir; dos problemas diferentes de XSS en los nombres de los adjuntos, de los que informaron Jouko Pynnönen y Divyesh Prajapati; revelación de información del historial de revisiones, del que informaron John Blackbourn, del equipo de seguridad de WordPress y Dan Moen; denegación de servicio de oEmbed, del que informó Jennifer Dodd de Automattic; borrado sin autorización de categoría de una entrada, de lo que informó David Herrera de Alley Interactive; cambio de contraseña mediante cookie robada, del que informó Michael Adams del equipo de seguridad de WordPress; y algunos casos menores de seguridad con sanitize_file_name de los que informó Peter Westwood, también del equipo de seguridad de WordPress.

Gracias a todos los que han informado por poner en práctica la revelación responsable.

Además de los problemas de seguridad anteriores, WordPress 4.5.3 soluciona 17 fallos desde las versiones 4.5, 4.5.1 y 4.5.2. Para más información revisa las notas de la versión o consulta la lista de cambios.

Descarga WordPress 4.5.3 o pásate por tu Escritorio → Actualizar y simplemente haz clic en “Actualizar ahora.” Los sitios compatibles con actualizaciones automáticas en segundo plano ya están empezando a actualizarse a WordPress 4.5.3.

Gracias a todos los que han colaborado con la versión 4.5.3:

Boone GorgesSilvan HagenvortfuEric Andrew LewisNikolay Bachiyski,  Michael AdamsJeremy FeltDominik SchillingWeston RuterDion HulseRachel BakerAlex ConchaJennifer M. DoddBrandon KraftGary PendergastElla Iseulde Van DorpeJoe McGillPascal BirchlerSergey BiryukovDavid Herrera y Adam Silverstein.

WordPress 4.5.2, actualización de seguridad

WordPress 4.5.2 ya está disponible. Esta es una actualización de seguridad para todas las versiones anteriores y te recomendamos encarecidamente que actualices tus sitios inmediatamente.

Las versiones de WordPress 4.5.1 y anteriores están afectadas por ALGUNA vulnerabilidad debida a Plupload, la biblioteca externa que usa WordPress para subir archivos. Las versiones de WordPress desde la 4.2 hsta la 4.5.1 son vulnerables a un ataque de XSS reflejo si se utilizan URLs especialmente creadas desde MediaElement.js, la biblioteca externa utilizada para los reproductores de medios. MediaElement.js y Plupload también se han actualizado para solucionar estos problemas.

Ambos problemas los analizó e informaron Mario Heiderich, Masato Kinugawa, y Filedescriptor desde Cure53. Gracias al equipo por practicar la información responsable, y a los equipos de Plupload y MediaElement.js por trabajar conjuntamente con nosotros para coordinarnos y solucionar estos fallos.

Descarga ya WordPress 4.5.2 o pásate por tu Escritorio → Actualizaciones y simplemente haz clic en “Actualizar ahora” Los sitios compatibles con las actualizaciones automáticas en segundo plano ya están empezando a actualizarse a WordPress 4.5.2.

Además de esto, hay varias vulnerabilidades ampliamente publicadas en la biblioteca de procesamiento de imágenes ImageMagick, utilizadas por los alojamientos web y compatibles con WordPress. Para lo que nos afecta a estos problemas revisa esta entrada en el blog de desarrollo del núcleo.

WordPress 4.4.2, actualización de seguridad y mantenimiento

WordPress 4.4.2 ya está disponible. Esta es una actualización de seguridad para todas las versiones anteriores y recomendamos encarecidamente actualizar tus webs inmediatamente.

Las versiones de WordPress 4.4.1 y anteriores están afectadas por problemas de seguridad: un posible SSRF para ciertas URIs locales, de lo que informó Ronni Skansing; y un ataque de redirección abierta, de la que informó Shailesh Suthar.

Nuestro agradecimiento a ambos por realizar una difusión responsable.

Además de los problemas de seguridad anteriores, WordPress 4.4.2 soluciona 17 fallos detectados desde las versiones 4.4. y 4.4.1. Para más información revisa las notas de la versión o consulta la lista de cambios.

Descarga WordPress 4.4.2 o ve a Escritorio -> Actualizaciones y simplemente haz clic en “Actualizar ahora”. Los sitios que tengan activas las actualizaciones en segundo plano ya se están empezando a actualizar a WordPress 4.4.2.

Gracias a todos los que han contribuido a la versión 4.4.2:

Andrea FerciaberengerzylaBoone GorgesChandra PatelChris ChristoffDion HulseDominik Schillingfirebird75Ivan KristiantoJennifer M. Doddsalvoaranzulla

WordPress 4.4.1 – Actualización de seguridad y mantenimiento

WordPress 4.4.1 ya está disponible para actualizarse. Esta es una actualización de seguridad para todas las versiones previas, y te animamos encarecidamente a que actualices tus sitios inmediatamente.

Las versiones de WordPress 4.4 y anteriores están afectadas por  una vulnerabilidad de scripts cruzados que podría permitir que un sitio quedase comprometido. El aviso lo dió Crtc4L.

También incluye diversas soluciones de errores no relacionados con la seguridad:

  • El soporte de emoji se ha actualizado para incluir los últimos caracteres emoji, como las nuevas variaciones de emoji 👍🏿👌🏽👏🏼
  • Algunos sitios con versiones anteriores de Open SSL instaladas eran incapaces de comunicarse con otros servicios ofrecidos en plugins.
  • Si la URL de una publicación se reutilizaba el sito podría redirigir a la publicación incorrecta.

WordPress 4.4.1 soluciona 52 fallos desde la versión 4.4. Para más información echa un vistazo a las notas de la versión o consulta la lista de cambios.

Descarga WordPress 4.4.1 o pásate por ·Escritorio → Actualizaciones y simplemente haz clic en “Actualizar ahora”. Los sitios que tengan activas las actualizaciones automáticas en segundo plano ya están actualizándose a WordPress 4.4.1.

Gracias a todos los que han colaborado con la versión 4.4.1:

Aaron D. CampbellAaron JorbinAndrea FerciaAndrew NacinAndrew OzzBoone GorgesComputeDaniel Jalkut (Red Sweater)Danny van KootenDion HulseDominik Schilling (ocean90)Dossy ShiobaraEvan HermanGary PendergastgblsmHinaloeIgnacio Cruz MorenojadpmJeff Pye BrookJoe McGillJohn BlackbournjprKonstantin ObenlandKrissieVMarin AtanasovMatthew EllMeitarPascal BirchlerPeter WilsonRoger ChenRyan McCueSal FerrarelloScott TaylorscottbrownconsultingSergey BiryukovShinichi NishikawasmerrimanStephen EdgarStephen Harristharsheblowsvoldemortensen, and webaware.

WordPress 4.3.1 Actualización de mantenimiento y seguridad

WordPress 4.3.1 está ya disponible. Esta es una actualización de seguridad para todas las versiones anteriores así que es importante que actualices tus sitios de inmediato.

Esta versión soluciona tres problemas, incluidas dos vulnerabilidades de scripts cruzados (XSS) y un escalado potencial de privilegios

  • Las versiones de WordPress 4.3 y anteriores son vulnerables a una vulnerabilidad XSS al procesar tags de shortcode (CVE-2015-5714). Avisado por Shahar Tal y Netanel Rubin de Check Point.
  • Se ha encontrado otra vulnerabilidad XSS en la tabla de la lista de usuarios. Avisado por Ben Bidner del Equipo de seguridad de WordPress.
  • Por último, en ciertos casos, usuarios sin los permisos adecuados podrían publicar entradas privadas y hacerlas fijas (CVE-2015-5715). Avisado por Shahar Tal y Netanel Rubin de Check Point.

Todo nuestro agradecimiento a los que han hecho una divulgación responsable de problemas de seguridad.

WordPress 4.3.1 también arregla otros 26 fallos. Para más información revisa las notas de la versión o consulta la lista de cambios.

Descarga WordPress 4.3.1 o pásate por Escritorio → Actualizaciones y haz clic en  “Actualizar ahora.” Los sitios que tengan activas las actualizaciones automáticas desatendidas ya están empezando a actualizarse a WordPress 4.3.1.

Gracias a todos los que han contribuido a la versión 4.3.1:

Adam SilversteinAndrea FerciaAndrew OzzBoone GorgesBrandon Kraftchriscct7Daisuke TakahashiDion HulseDominik SchillingDrew JaynesdustinboltonGary PendergasthauvongJames HuffJeremy FeltjobstMarin AtanasovNick HalseynikeoNikolay BachiyskiPascal BirchlerPaul RyanPeter WilsonRobert ChapinSamuel WoodScott TaylorSergey BiryukovtmatsuurTracy LevesqueUmesh NevasevortfuwelcherWeston Ruter

3.9.2, 3.8.4, y 3.7.4. Actualizaciones de seguridad

Si tu sitio WordPress estaba en la versión 3.9.1 o en la versión 3.8.3, esta noche se te debe haber actualizado automáticamente. Para los que tengáis las versiones 3.7.3, o tengáis las actualizaciones automáticas desactivadas, es muy recomendable actualizar WordPress cuanto antes.

 Esta actualización de seguridad arregla un problema de posible acceso remoto que puede llegar a daros problemas, así que volvemos a recomendaros actualizar cuanto antes.

WordPress 3.6.1 (Actualización de mantenimiento y seguridad)

Acaba de ser liberada la versión 3.6.1 de WordPress, una actualización que resuelve 13 errores y algunos fallos de seguridad:

  • Bloquea “deserializaciones” de PHP  no seguras que podrían, en algunas instalaciones y configuraciones, conducir a ejecución de código remoto. Reportado por Tom Van Goethem.
  • Previene que un usuario con rol de Autor, utilizando una llamda muy elaborada, pueda crear una entrada “escrita por” otro usuario. Reportado por Anakorn Kyavatanakij.
  • Arregla validaciones de entrada insuficiente que podría conllevar una redirección a otras webs. Reportado por Dave Cummo, de Northrup Grumman subcontratados por  U.S. Centers for Disease Control and Prevention.

También se han ajustado algunas restricciones de la subida de archivos para limitar el riesgo de “cross-site scripting”.

Al ser una versión de seguridad, se recomienda encarecidamente actualizar las instalaciones. Basta con ir a Escritorio –> Actualizaciones.

(Esta entrada es una adaptación de la oficial en inglés).

Puedes encontrar más información sobre actualizaciones en el Codex.

WordPress 3.4.1 (actualización de seguridad)

Se ha publicado la primera actualización de seguridad de WordPress 3.4 (Green). Resuelve algunos problemas y vulnerabilidades:

  1. Las plantillas de los temas que, en determinados casos, no se detectaban
  2. La estructura de los enlaces permanentes de algunas categorías
  3. La carga de Javascript en algunos plugins y temas
  4. Mejora la subida de contenidos en iOS 6,
  5. Permite algunas acciones para detectar activaciones en redes
  6. Mejor compatibilidad con servidores que van sobre algunas versiones de PHP (5.2.4 ó 5.4) con configuraciones poco comunes  (safe mode, open_basedir), que creaba alertas o impedía que se enviaran algunos correos

También se resuelven algunas vulnerabilidades más serias: la revelación de información y un error con usuarios no seguros de instalaciones multisite.  El equipo de seguridad de WordPress las ha detectado y arreglado.

Podéis verlo en detalle en la entrada original el inglés y los cambios específicos en el trac.

Descarga la versión 3.4.1  (es_ES)  o dirigete a tu Escritorio → Actualizaciones en la administración de tu sitio para actualizar WordPress.

WordPress 3.3.2 (actualización de seguridad)

Ya está disponible la actualización 3.3.2, una actualización de seguridad que soluciona diversas vulnerabilidades:

  • Plupload (versión 1.5.4), que WordPress utiliza para subir archivos.
  • SWFUpload, que WordPress utilizaba antes para subir archivos y puede seguir en uso por parte de plugins.
  • SWFObject, que WordPress utilizaba antes para incrustar contenido Falsh y puede seguir en uso por parte de plugins y temas.
  • Escalado limitado de privilegios cuando un administrador de sitio podía desactivar plugins para toda la red al ejecutar una red WordPress en ciertas circunstancias
  • Vulnerabilidad XSS al hacer URLs clicables
  • Vulnerabilidad XSS en redirecciones tras publicar comentarios en navegadores antiguos, y al filtrar URLs