WordPress lanzó un parche de seguridad para una vulnerabilidad de inyección de objetos críticos en PHPMailer, el componente que WordPress usa para enviar correos electrónicos de forma predeterminada. Si su sitio está configurado para permitir la actualización automática de versiones de puntos menores, es probable que su sitio ya se haya actualizado a WordPress 5.7.2.
La vulnerabilidad en cuestión es una falla de inyección de objetos presente en múltiples versiones de PHPMailer a la que se le ha dado un identificador de CVE-2020-36326 . Es similar a otra vulnerabilidad, CVE-2018-19296, que había sido parcheada en una versión anterior de PHPMailer.
Esta vulnerabilidad podría permitir a un atacante realizar diferentes tipos de ataques maliciosos, como inyección de código, inyección de SQL, recorrido de ruta y denegación de servicio de la aplicación, según el contexto.
El problema de seguridad afecta a las versiones de WordPress entre 3.7 y 5.7.
Recomendamos encarecidamente actualizar a la última versión de WordPress lo antes posible, dado la gran cantidad de instalaciones de WordPress existentes significa que es probable que existan sitios explotables. Además, la vulnerabilidad puede ser más fácil de explotar de lo que se anticipó originalmente. Puedes actualizar a WordPress 5.7.2 descargándola desde es.wordPress.org, o visitando tu Panel de control → Actualizaciones, y hacer clic en «Actualizar ahora».
Más información: