Se ha publicado la versión 4.7.2 de WordPress destinada a solucionar tres vulnerabilidades, que podrían permitir realizar ataques de cross-site scripting, exponer información o posibilitar la realización de inyección SQL.

Wordpress es un sistema de gestión de contenidos enfocado a la creación de blogs desarrollado en PHP y MySQL, ampliamente usado en la comunidad de bloggers debido a su facilidad de uso y sus características como gestor de contenidos.

Hace menos de dos semanas que se publicó la versión 4.7.1, sin embargo se publica una nueva actualización para corregir nuevos problemas detectados. El primero reside en que la interfaz de usuario para asignar los términos de una taxonomía en Press This se muestra a usuarios que no tienen permisos para ello. Por otra parte, WP_Query es vulnerable a una inyección SQL al tratar datos inseguros. El aviso señala que el núcleo de WordPress no se ve afectado directamente por este problema, pero se han añadido medidas de seguridad para evitar que plugins y temas puedan verse afectados. Por último, un cross-site scripting (XSS) en la tabla de lista de posts.

Se recomienda la actualización de los sistemas a la versión 4.7.2 disponible desde:

https://wordpress.org/download/

O bien desde el dashboard, Actualizaciones (Updates), Actualizar Ahora (Update Now). Los sitios que soporten actualizaciones automáticas ya han iniciado la actualización a WordPress 4.5.2.

Más información:

WordPress 4.7.2 Security Release

https://wordpress.org/news/2017/01/wordpress-4-7-2-security-release/

una-al-dia (15/01/2017) Actualización de seguridad para WordPress

http://unaaldia.hispasec.com/2017/01/actualizacion-de-seguridad-para.html

Antonio Ropero

[email protected]

Twitter: @aropero