WordPress 4.0.1 corrige crítica vulnerabilidad XSS, ¡actualízalo!

Iniciado por r32, 23 Noviembre 2014, 01:57 AM

0 Miembros y 1 Visitante están viendo este tema.

r32





WordPress ha anunciado el lanzamiento de una actualización de seguridad crítica a su versión 4.0.1, afirmando que las anteriores a 3.9.2 inclusive están afectadas por una vulnerabilidad Cross-Site Scripting (XSS). La falla podría permitir a criminales comprometer un sitio, habilitando el ingreso de código HTML en formularios web y alterando su apariencia original.

La actualización de WordPress 4.0.1 corrige 23 bugs y ocho problemas de seguridad:

    Tres agujeros relacionados a XSS que permitirían comprometer un sitio
    Cross-site request forgery o falsificación de petición en sitios cruzados, que podría ser usada para inducir a un usuario a cambiar su contraseña
    Una falla que podría derivar en un Denial of Service (DoS) cuando las contraseñas son verificadas
    Protecciones adicionales contra ataques de falsificación de peticiones en el lado de servidor, cuando WordPress hace solicitudes HTTP.
    Una muy poco probable colisión de hash (cuando dos entradas distintas a una función de hash producen la misma salida) que podría permitir que se comprometa la cuenta de un usuario. También requería que no hubieran hehco login desde 2008.
    Ahora se invalidan los enlaces en correos electrónicos de restauración de contraseña si el usuario la recuerda, hace login y cambia su durección de mail.

Como de costumbre ante actualizaciones de seguridad, recomendamos descargar la última versión para descartar la explotación de las vulnerabilidades descubiertas. Sobre todo si tenemos en cuenta que WordPress ha presentado varias vulnerabilidades en los últimos meses, como aquella en el plugin MailPoet que afectó a 50 mil sitios.

Links:

https://wordpress.org/news/2014/11/wordpress-4-0-1/

https://wordpress.org/download/

Créditos imagen: ©Christopher Ross/Flickr
Autor Sabrina Pagnotta, ESET


dimitrix





BlackM4ster

- Pásate por mi web -
https://codeisc.com

dimitrix

Son divertidos y al no ser SQLi no son "tan ilegales" ya que no afecta al servidor... así que lo puedes publicar xD

Gracias ^^