Wordpress lanzó un parche de emergencia para corregir una vulnerabilidad de día cero que afecta a millones de sitios web, éstos podrían ser víctimas de cross-site scripting e incluso secuestro del sitio web.

Gary Pendergast, consultor de WordPress, anunció la liberación del parche de seguridad apenas unas horas después de que el investigador Jouko Pynnönen hiciera pública la vulnerabilidad.

De acuerdo al comunicado de WordPress: "WordPress 4.2.1 ya está disponible. Esta es una actualzación crítica que corrige temas de seguridad para todas las versiones previas y recomendamos ampliamente que actualicen sus sitios inmediatamente. Esta nueva versión ya se está aplicando en sitios que soportan actualizaciones automáticas."

El descubrimiento de esta falla causó revuelo en la comunidad de investigadores de seguridad de la información por el alcance de este manejador de contenidos y por la capacidad potencial de esta falla para causar daños. De acuerdo a la investigación de Pynnöne:

"Un atacante podría inyectar código en JavaScript en los comentarios de WordPress sin necesidad de algún tipo de autenticación, ese código se dispara cuando el comentario es visto. Si el comentario es visto por un administrador con su sesión iniciada, bajo circunstancias predeterminadas, el atacante podrías ejecutar código de manera remota a través de plugins y editores de temas.

Alternativamente, el atacante podría cambiar la contraseña del administrador, crear nuevas cuentas o hacer cualquier acción que un administrador tenga permitido."

WordPress es una de las plataformas más utilizadas en el mundo, se estima que el 23% de Internet utiliza este manejador, por lo que una vulnerabilidad como ésta puede tener un gran impacto en el funcionamiento de Internet. Si tu sitio utiliza WordPress, por favor actualiza a la nueva versión cuanto antes.