WordPress 4.7.5 se lanzó hoy con correcciones a seis problemas de seguridad. Si administra varios sitios, es posible que haya visto notificaciones de actualizaciones automáticas que llegan a sus direcciones de correo electrónico. La versión de seguridad es para todas las versiones anteriores y WordPress recomienda una actualización inmediata. Dado que los sitios tienen versiones inferiores a 3,7, deberá actualizar manualmente.
Las vulnerabilidades corregidas en la versión 4.7.5 fueron divulgadas responsablemente al equipo de seguridad de WordPress por cinco equipos diferentes acreditados en la publicación. Estos incluyen los siguientes:
- Validación insuficiente de redireccionamiento en la clase HTTP
- Manejo inadecuado de valores metadatos publicar en la API XML-RPC
- Falta de verificación de capacidad para meta-datos más adelante en la API XML-RPC
- Vulnerabilidad de falsificación de solicitud entre sitios (CRSF) descubierta en el cuadro de diálogo de credenciales del sistema de archivos
- Se descubrió una vulnerabilidad de secuencias de comandos entre sitios (XSS) al intentar descargar archivos muy grandes
- Se descubrió una vulnerabilidad de secuencias de comandos (XSS) entre sitios en relación con el "Personalizador"
Varios de los informes de vulnerabilidades provienen de investigadores de seguridad en "HackerOne". En una entrevista reciente con HackerOne, el líder del equipo de seguridad de WordPress, Aaron Campbell, dijo que el equipo ha visto un aumento en los informes desde el lanzamiento público de su programa de recompensas por errores.
« El aumento en el volumen de informes fue drástico como se esperaba, pero nuestro equipo realmente no tuvo que lidiar con informes no válidos antes de hacer público el programa." , ha declarado Campbell. " La dinámica del sistema de reputación de piratas informáticos realmente entró en juego por primera vez y fue realmente interesante entender cómo trabajar mejor ".
Si WordPress continúa manteniendo el mismo volumen de informes en su nueva cuenta HackerOne, los usuarios pueden ver versiones de seguridad más frecuentes en el futuro.
WordPress 4.7.5 también incluye un puñado de arreglos de mantenimiento. Vea la lista completa de cambios para más detalles.
