WordPress 6.3.2: Actualización de Seguridad

Últimamente están apareciendo muchas vulnerabilidades relacionadas con WordPress y los ataques están aumentando de manera considerable. Muchos/as creen que como su negocio no es muy relevante, no son objetivos de hackers, y no saben lo equivocados/as que están… Mi consejo como siempre, mantén tu CMS actualizado siempre para evitar hacks.

¿Te pueden hackear la aplicación cuando está totalmente actualizada?

Totalmente, aprovechando vulnerabilidades todavía no resueltas, pero si tienes la aplicación actualizada, será mucho más difícil, porque lo primero que hace un hacker, es aprovechar vulnerabilidades ya conocidas y documentadas.

Como siempre, recomiendo que antes de realizar una actualización, haced una copia del sitio web entero, incluyendo base de datos, y si la puede hacer un/a profesional, mejor que mejor, así si hay algún error o algo, podrá solucionarlo o como mínimo, saber que componentes están fallando.

WordPress Core hasta la versión 6.3.1 tiene varias vulnerabilidades que podrían ser explotadas por atacantes.

La actualización a la versión 6.3.2 aborda estas vulnerabilidades y refuerza la seguridad. A continuación, se detallan algunas de las vulnerabilidades más importantes:

1. Ejecución arbitraria de códigos cortos: En las versiones anteriores a 6.3.2, WordPress era vulnerable a la ejecución arbitraria de códigos cortos debido a la falta de validación de entrada en el parámetro ‘shortcode’ en la función AJAX ‘parse_media_shortcode’. Esto permitía que atacantes autenticados con privilegios de suscriptor o superiores ejecutaran códigos cortos arbitrarios.

2. Reflejo de Cross-Site Scripting (XSS) a través de contraseñas de aplicación: Las versiones entre 5.6 y 6.3.1 eran vulnerables al XSS reflejado al solicitar contraseñas de aplicación debido a una sanitización insuficiente. Esto permitía a atacantes no autenticados inyectar scripts web maliciosos.

3. Exposición de información sensible a través de comentarios: Las versiones anteriores a 6.3.2 permitían que usuarios autenticados con privilegios de contribuidor o superiores accedieran a comentarios en publicaciones protegidas. La actualización aborda esta vulnerabilidad y protege la privacidad de los comentarios.

4. Denegación de servicio por envenenamiento de caché: WordPress era vulnerable a la denegación de servicio por envenenamiento de caché en versiones entre 4.7.0 y 6.3.1. Esto ocurría cuando se enviaba la cabecera X-HTTP-Method-Override en una solicitud a un punto de acceso REST y se devolvía un error 4xx.

5. XSS almacenado en bloque de notas a través de enlaces de navegación: En versiones entre 6.3 y 6.3.1, WordPress era vulnerable al XSS almacenado a través del bloque de notas de pie de página debido a una sanitización insuficiente. Esto permitía a atacantes autenticados con privilegios de contribuidor o superiores inyectar scripts web maliciosos.

WordPress 6.3.2 corrige estas vulnerabilidades y protege contra posibles ataques. Se recomienda a los usuarios de WordPress que actualicen a la última versión para mantener la seguridad de sus sitios. Para más información, puedes visitar el siguiente enlace (aquí).