WordPress 5.7.2 corrige una vulnerabilidad crítica
Se anima a los editores a comprobar la versión de WordPress que están utilizando para asegurarse de que estén actualizados a la versión 5.7.2.
Vulnerabilidad de inyección de objetos
La vulnerabilidad que afecta a WordPress se denomina vulnerabilidad de inyección de objetos. Específicamente, esta es una inyección de objeto en la vulnerabilidad PHPMailer.
Según el sitio web de seguridad Owasp.org, aquí está la definición de una vulnerabilidad de inyección de objetos PHP:
PHP Object Injection es una vulnerabilidad a nivel de aplicación que podría permitir a un atacante realizar varios tipos de ataques maliciosos, como inyección de código, inyección de SQL, inyección de SQL, cruce de ruta y denegación de servicio de la aplicación, según el contexto.
La vulnerabilidad ocurre cuando la entrada proporcionada por el usuario no se limpia adecuadamente antes de pasar a la función PHP unserialize ().
Debido a que PHP permite la serialización de objetos, los atacantes podrían pasar cadenas serializadas ad hoc a una llamada unserialize () vulnerable, lo que resulta en una inyección arbitraria de objetos PHP en el alcance de la aplicación. "
Publicidad
Continuar leyendo a continuación
Vulnerabilidad de WordPress clasificada como crítica
La vulnerabilidad está clasificada cerca del nivel más alto de peligro. En una escala del 1 al 10 utilizando el Sistema de puntuación de vulnerabilidad común (CVSS), esta vulnerabilidad tiene una calificación de 9,8.
El sitio web de seguridad Patchstack ha publicado la calificación de vulnerabilidad oficial del gobierno de EE. UU.
Vulnerabilidad de WordPress con calificación crítica
La vulnerabilidad de WordPress tiene una calificación de 9,8 en una escala del 1 al 10.Según el sitio de seguridad Patchstack que publicó detalles de la vulnerabilidad:
Publicidad
Continuar leyendo a continuación
"Detalles
Inyectar objetos en la vulnerabilidad PHPMailer descubierta en WordPress (un problema de seguridad que afecta a las versiones de WordPress entre 3.7 y 5.7).
SOLUCIÓN
Actualice WordPress a la última versión disponible (al menos 5.7.2). Todas las versiones de WordPress desde la versión 3.7 también se han actualizado para abordar el siguiente problema de seguridad. "
El anuncio oficial de WordPress para WordPress 5.7.2 declaró:
"Actualizaciones de seguridad
Un problema de seguridad afecta a las versiones de WordPress entre 3.7 y 5.7.Si aún no ha actualizado a la versión 5.7, todas las versiones de WordPress desde la versión 3.7 también se han actualizado para abordar los siguientes problemas de seguridad:
Inyectando objetos en PHPMailer »
El sitio web oficial de la base de datos nacional de vulnerabilidades del gobierno de EE. UU., Que anuncia vulnerabilidades, señaló que este problema surgió porque un parche para una vulnerabilidad anterior creó una nueva.
La base de datos nacional de vulnerabilidades del gobierno de EE. UU. Describe la vulnerabilidad de la siguiente manera:
"PHPMailer 6.1.8 a 6.4.0 permite la inyección de objetos a través de la deserialización de Phar a través de addAttachment con una ruta UNC.
NOTA: Esto es similar a CVE-2018-19296, pero ocurrió porque 6.1.8 solucionó un problema de funcionalidad en el que PHPMailer aún consideraba ilegibles los nombres de ruta UNC, incluso en contextos seguros.
Como efecto secundario no deseado, esta corrección eliminó el código que estaba bloqueando la explotación de addAttachment. "
La base de datos nacional de vulnerabilidades califica la vulnerabilidad de WordPress como crítica
Actualice WordPress inmediatamente
Los editores que usan WordPress deben considerar verificar sus instalaciones de WordPress para ver las más recientes. La versión más reciente de WordPress es la versión 5.7.2.
Publicidad
Continuar leyendo a continuación
Dado que la calificación de vulnerabilidad es crítica, esto puede significar que las consecuencias de no actualizar WordPress a la versión 5.7.2 pueden dejar un sitio vulnerable a un evento de piratería.
Cita
Anuncio de la versión 5.7.2 de WordPress