WordPress 4.2.1 - La versión de seguridad corrige la vulnerabilidad de Zero Day XSS - Actualizar ahora
Tan solo 3 días después del lanzamiento de WordPress 4.2, un investigador de seguridad encontró una vulnerabilidad XSS de Zero day que afecta a WordPress 4.2, 4.1.2, 4.1.1, 4.1.3 y 3.9.3. Esto permite a un atacante inyectar JavaScript en los comentarios y hackear su sitio. El equipo de WordPress respondió rápidamente y solucionó el problema de seguridad en WordPress 4.2.1, y le recomendamos encarecidamente que actualice sus sitios inmediatamente.
Jouko Pynnönen, un investigador de seguridad de Klikki Oy, quien informó que el problema lo describió como:
Si es activado por un administrador registrado, bajo la configuración predeterminada, el atacante puede aprovechar la vulnerabilidad para ejecutar código arbitrario en el servidor a través de los editores de temas y complementos.
Alternativamente, el atacante podría cambiar la contraseña del administrador, crear nuevas cuentas de administrador o hacer cualquier otra cosa que pueda hacer el administrador que haya iniciado sesión en el sistema de destino..
Esta vulnerabilidad en particular es similar a la reportada por Cedric Van Bockhaven que fue parcheada en la versión de seguridad de WordPress 4.1.2.
Desafortunadamente, no utilizaron la divulgación de seguridad adecuada y, en cambio, publicaron la vulnerabilidad públicamente en su sitio. Esto significa que aquellos que no actualicen su sitio estarán en serios riesgos..
Actualizar: Hemos aprendido que intentaron ponerse en contacto con el equipo de seguridad de WordPress pero no pudieron obtener una respuesta oportuna.
Si no ha desactivado las actualizaciones automáticas, su sitio se actualizará automáticamente..
Una vez más, le recomendamos encarecidamente que actualice su sitio a WordPress 4.2.1. Asegúrese de hacer una copia de seguridad de su sitio antes de actualizar.