Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Cierran importante hueco de seguridad en WordPress 3.4
Desarrolladores de WordPress han lanzado la versión 3.4.1 de su popular plataforma de publicaciones de código abierto, corrigiendo algunos errores y cerrando huecos de seguridad, uno de ellos catalogado como importante.
WordPress 3.4, que ya ha sido descargado 3 millones de veces desde su lanzamiento hace dos semanas, contiene un fallo importante de escalación de privilegios que accidentalmente permite a todos los administradores y editores en instalaciones multi sitios usar unfiltered_html. Esto podría ser explotado por usuarios para realizar ataques de cross-site scripting (XSS) por ejemplo, publicando posts que contengan código malicioso.
La actualización también corrige una vulnerabilidad de divulgación de información que podría haber permitido a algunos usuarios evitar ciertas restricciones de seguridad con el propósito de ver los contenidos de posts que de otra forma no podrían ver, tales como borradores y posts privados.
WordPress 3.4.1 además, mejora la seguridad al añadir protecciones adicionales de seguridad contra ataques cross-site request forgery (CSRF) hacía el usuario y en el relego de la función wp_explain_nonce, que pudo haber revelado información innecesaria. Adicionalmente, un tema secundario (child theme) ahora puede solamente ser activado junto con su tema principal (parent theme).
Otros cambios no relacionados a la seguridad, incluyen correcciones para problemas con la categoría de estructuras de permalink y una publicación que resultaba en un tema de plantilla de la página no detectada. WordPress ahora maneja mejor los plugins y temas que JavaScript carga incorrectamente, también mejora la compatibilidad con servidores que corren ciertas versiones de PHP. También se ha añadido un soporte para subir imágenes en dispositivos iOS 6.
La lista completa de correcciones se puede encontrar en WordPress Trac y en la página de códigos de la Version 3.4.1. WordPress 3.4.1 está disponible para descargarse desde el sitio del proyecto; los usuarios existentes pueden migrar usando la funcionalidad de actualizaciones. Los binarios y el código fuente se encuentran bajo la licencia GPLv2 o posterior.
