La versión de seguridad de WordPress 6.4.3 corrige dos vulnerabilidades

  • HatumSEO
  • Noticias
  • La versión de seguridad de WordPress 6.4.3 corrige dos vulnerabilidades

WordPress anuncia una versión de seguridad y mantenimiento que parchea dos vulnerabilidades y corrige 21 errores

WordPress anunció una versión de seguridad 6.4.3 como respuesta a dos vulnerabilidades descubiertas en WordPress más 21 correcciones de errores.

Omisión de carga de archivos PHP

El primer parche es para una vulnerabilidad de omisión de carga de archivos PHP a través del instalador de complementos. Es una falla en WordPress que permite a un atacante cargar archivos PHP a través del complemento y el cargador de temas. PHP es un lenguaje de programación que se utiliza para generar HTML Los archivos PHP también se pueden utilizar para inyectar malware en un sitio web.

Sin embargo, esta vulnerabilidad no es tan mala como parece porque el atacante necesita permisos de nivel de administrador para poder ejecutar este ataque.

Vulnerabilidad de inyección de objetos PHP

Según WordPress, el segundo parche es para una vulnerabilidad de cadenas POP de ejecución remota de código que podría permitir a un atacante ejecutar código de forma remota.

Una vulnerabilidad de RCE POP Chains generalmente significa que hay una falla que permite a un atacante, generalmente mediante la manipulación de la entrada que el sitio de WordPress deserializa, ejecutar código arbitrario en el servidor.

La deserialización es el proceso en el que los datos se convierten a un formato serializado (como una cadena de texto). La deserialización es la parte en la que se vuelven a convertir a su forma original.

Wordfence describe esta vulnerabilidad como una vulnerabilidad de inyección de objetos PHP y no menciona la parte de las cadenas POP de RCE.

Así describe Wordfence la segunda vulnerabilidad de WordPress: describes the second WordPress vulnerability

“The second patch addresses the way that options are stored – it first sanitizes them before checking the data type of the option – arrays and objects are serialized, as well as already serialized data, which is serialized again. While this already happens when options are updated, it was not performed during site installation, initialization, or upgrade.”

“El segundo parche aborda la forma en que se almacenan las opciones: primero las desinfecta antes de verificar el tipo de datos de la opción; las matrices y los objetos se serializan, así como los datos ya serializados, que se serializan nuevamente. Si bien esto ya sucede cuando se actualizan las opciones, no se realizó durante la instalación, inicialización o actualización del sitio”.

Esta también es una vulnerabilidad de baja amenaza, ya que un atacante necesitaría permisos de nivel de administrador para lanzar un ataque exitoso.

Sin embargo, el anuncio oficial de WordPress sobre la versión de seguridad y mantenimiento recomienda actualizar la instalación de WordPress: WordPress announcement of the security and maintenance release

“Because this is a security release, it is recommended that you update your sites immediately. Backports are also available for other major WordPress releases, 4.1 and later.”

«Debido a que se trata de una versión de seguridad, se recomienda que actualice sus sitios inmediatamente Los backports también están disponibles para otras versiones importantes de WordPress, 4.1 y posteriores”.

Corrección de errores en el núcleo de WordPress

Esta versión también corrige cinco errores en el núcleo de WordPress:

  1. El texto no se resalta al editar una página en las últimas versiones de Chrome Dev y Canary
  2. Actualice la versión PHP predeterminada utilizada en el entorno Docker local para ramas más antiguas
  3. wp-login.php: mensajes/errores de inicio de sesión
  4. print_emoji_styles obsoletos producidos durante la inserción
  5. Las páginas adjuntas solo están deshabilitadas para los usuarios que han iniciado sesión

Además de las cinco correcciones anteriores para el Core, hay 16 correcciones de errores adicionales para el Editor de bloques.

Lea el anuncio oficial de la versión de mantenimiento y seguridad de WordPress ordPress Security and Maintenance Release announcement

Descripciones de WordPress de cada una de las 21 correcciones de errores WordPress descriptions of each of the 21 bug fixes

La descripción de Wordfence de las vulnerabilidades:

La actualización de seguridad de WordPress 6.4.3: lo que necesita saber The WordPress 6.4.3 Security Update – What You Need to Know

Imagen destacada de Shutterstock/Roman Samborskyi

Leer el articulo original en Search Engine Journal.

¡Danos un Voto!

¿Tienes una pregunta?

Luis Narciso
Sobre SEO
(Posicionamiento Web)

Frank Fajardo
Sobre Diseño Web, Anuncios, Diseño y Redes Sociales