WordPress publica parches de seguridad para múltiples vulnerabilidades

WordPress ha publicado una actualización de seguridad para mitigar cuatro vulnerabilidades, las mismas se componen de: 1 (una) de Cross-Site Scripting (XSS), 1 (una) de escalamiento de privilegios y 2 (dos) de SQL Injection, que podrían permitir a un atacante realizar ejecución remota de código (RCE).

Las vulnerabilidades reportadas corresponden a tres vulnerabilidades con severidad “Alta” y una de severidad “Media”; estas son CVE-2022-21661, CVE-2022-21662, CVE-2022-21663 y CVE-2022-21664, las cuales se detallan a continuación:

• CVE-2022-21661 de severidad alta, con una puntuación de 8.0. Esta vulnerabilidad se debe a una falla en la función WP_Query, mediante la manipulación de un input desconocido. Un atacante podría realizar SQL Injection y así visualizar datos confidenciales o modificar los datos de la base de datos.
• CVE-2022-21662 de severidad alta, con una puntuación de 8.0. Esta vulnerabilidad se debe a una falla en una función desconocida mediante un input desconocido. Un atacante podría realizar Cross Site Scripting (XSS) al sistema afectado.
• CVE-2022-21664 de severidad alta, con una puntuación de 7.4. Esta vulnerabilidad se debe a una falla en una función desconocida mediante un input desconocido. Un atacante podría realizar SQL Injection y así visualizar datos confidenciales o modificar los datos de la base de datos.
• CVE-2022-21663 de severidad media, con una puntuación de 6.6. Esta vulnerabilidad se debe a una falla en el componente Object Handler, mediante la manipulación de un input desconocido se puede realizar un escalamiento de privilegios. Un atacante podría realizar ejecución remota de código (RCE) en el sistema afectado.

Las versiones WordPress desde la 3.7 a la 5.8.2. se ven afectadas.

Recomendamos instalar la actualización 5.8.3 provista por WordPress que corrige estas vulnerabilidades, siguiendo los pasos de la guía indicada a continuación:

• https://codex.wordpress.org/es:Actualizar_WordPress

Referencias:

• https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/actualizacion-seguridad-583-wordpress
• https://wordpress.org/news/2022/01/wordpress-5-8-3-security-release/
• https://wordpress.org/support/wordpress-version/version-5-8-3/
• https://nvd.nist.gov/vuln/detail/CVE-2022-21661
• https://vuldb.com/es/?id.189818
• https://nvd.nist.gov/vuln/detail/CVE-2022-21662
• https://vuldb.com/es/?id.189819
• https://nvd.nist.gov/vuln/detail/CVE-2022-21663
• https://vuldb.com/es/?id.189829
• https://nvd.nist.gov/vuln/detail/CVE-2022-21664
• https://vuldb.com/es/?id.189817