Cabecera-v2-web.jpg

Múltiples vulnerabilidades de alto riesgo abordadas en Wordpress 5.4.2


Wordpress pone a disposición su versión 5.4.2 que incluye actualizaciones de seguridad y mejoras en la herramienta. Aborda un total de 6 vulnerabilidades de seguridad, catalogadas como de riesgo alto, que afectan a Wordpress versión 5.4 y anteriores. Entre ellas, múltiples vulnerabilidades de XSS, escalada de privilegios y filtración de contenido confidencial, etc...

A continuación un breve resumen de las vulnerabilidades de seguridad corregidas en esta actualización:

  • Múltiples vulnerabilidades de XSS (Cross-Site Scripting), que permitirían a un atacante autenticado y con privilegios bajos inyectar Javascript malicioso en el Block Editor y a través de la funcionalidad Theme Uploads. Además, otra que permitiría a un atacante autenticado con permisos para realizar subida de archivos, inyectar Javascript malicioso en los archivos multimedia.
  • Vulnerabilidad open redirect en la función de validación de URLs wp_validate_redirect(), debido a que no valida correctamente las URLs recibidas. Esto podría permitir a un atacante realizar ataques de phishing, redirigiendo a la víctima a una página web maliciosa, por medio de un enlace malicioso diseñado especialmente para explotar la vulnerabilidad enviado a través de correo electrónico, mensaje privado, etc.
  • Un fallo en el argumento set-screen-option, que puede ser utilizado de una forma errónea por los plugins de Wordpress, permitiendo a un atacante realizar una escalada de privilegios.
  • Finalmente, un fallo de privacidad en dónde comentarios de páginas y publicaciones protegidas con contraseña pueden ser visualizados bajo ciertas condiciones.


Recomendaciones:

  • Actualizar Wordpress a la versión 5.4.2 disponible en el siguiente enlace o dirigirse a Panel de Administración de Wordpress > Escritorio > Actualizaciones y finalmente hacer clic en Actualizar ahora,
  • Realizar copias de seguridad de los datos y de todo el sitio web en forma periódica,
  • Contar con las actualizaciones automáticas activadas, siempre que sea posible,
  • Instalar un WAF (Web Application Firewall) que filtre las peticiones HTTP que contengan código malicioso.

Referencias:



pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11