Categories
Wordpress

WordPress 5.7.2 parche una vulnerabilidad crítica

Una vulnerabilidad de WordPress calificada como crítica ha sido parcheada. Aunque la explotación está etiquetada como crítica, un investigador de seguridad establece que la probabilidad de que la vulnerabilidad que se explota es remota.

El parche se aplica a la versión 5.7.2 de WordPress. Los sitios optados en la descarga automática deben recibir esta actualización sin ninguna acción adicional por parte de los editores.

Se recomienda a los editores a verifique qué versión de WordPress está utilizando para asegurarse de que se actualizan a la versión 5.7.2.

Vulnerabilidad de la inyección de objetos

La vulnerabilidad que está afectando a WordPress se llama una vulnerabilidad de inyección de objetos. Específicamente, es una inyección de objetos en la vulnerabilidad de PHPMailer.

De acuerdo con el sitio web de seguridad

OWASP.ORG

, este es elDefinición de una vulnerabilidad de inyección de objetos PHP:

Lectura de PublicidadContinue a continuación

“La inyección de objetos PHP es una vulnerabilidad a nivel de aplicación que podría permitir que un atacante realice diferentes tipos de ataques maliciosos, como la inyección de código, Inyección de SQL, transversal de ruta y denegación de la aplicación de servicio, según el contexto.

La vulnerabilidad se produce cuando la entrada suministrada por el usuario no está desinfectada correctamente antes de pasar a la función de PHP de insuilización ().

Screenshot of WordPress Vulnerability Rating Dado que PHP permite la serialización de los objetos, los atacantes podrían pasar cadenas serializadas ad-hoc a una llamada de insuficiencia () vulnerable, lo que resulta en una inyección (s) de objetos de PHP arbitraria en el alcance de la aplicación ” Screenshot of WordPress Vulnerability Rating Vulnerabilidad de WordPress Calificado como crítico

La vulnerabilidad es la tasaD en casi el nivel de criticidad de calificación más alta. En una escala de 1 a 10 utilizando el sistema de puntuación común de vulnerabilidad (CVSS), esta vulnerabilidad está calificada a las 9.8. AnunciCementContinue Reading a continuación El sitio web de PatchStack Security publicó la calificación oficial de vulnerabilidad del gobierno de los Estados Unidos.

Vulnerabilidad de WordPress CRÍTICA CRÍTICA

La vulnerabilidad de WordPress se clasifica 9.8 en una escala de 1 a 10

de acuerdo con el

PatchStack Security Security

Que publicó los detalles de la vulnerabilidad:

Detalles

Inyección de objetos en la vulnerabilidad de PHPMailer descubierta en WordPress (un problema de seguridad que afecta a las versiones de WordPress entre 3.7 y 5.7).

SOLUCIÓN

Actualiza el WordPress a la LatEST VERSIÓN DISPONIBLE (al menos 5.7.2). Todas las versiones de WordPress desde 3.7 también se han actualizado para solucionar el siguiente problema de seguridad “.

El anuncio oficial de WordPress para WordPress 5.7.2 declaró:

WordPress Vulnerability rated as Critical

WordPress Vulnerability rated as Critical

Actualizaciones de seguridad

Un problema de seguridad afecta las versiones de WordPress entre 3.7 y 5.7.

Si aún no ha actualizado a 5.7, todas las versiones de WordPress desde 3.7 también se han actualizado. Para solucionar los siguientes problemas de seguridad:

Inyección de objetos en phpmailer “

El sitio web oficial de la base de datos de vulnerabilidad nacional de los Estados Unidos que anuncia las vulnerabilidades señaló que este problema ocurrió porque una solución para un anterior La vulnerabilidad creó una nueva.

AnuncioContinue leyendo a continuación El gobierno de los Estados Unidos nLa base de datos de vulnerabilidad actual
describe la vulnerabilidad de esta manera:

“PHPMailer 6.1.8 a 6.4.0 Permite la inyección de objetos a través de la deserialización de PHAR a través de AddatTachment con un nombre de acceso UNC. NOTA : Esto es similar al CVE-2018-19296, pero surgió porque 6.1.8 se solucionó un problema de funcionalidad en el que los patines de la UNC siempre se consideraban ilegibles por phpmailer, incluso en contextos seguros. Como efecto secundario no deseado, este Fix eliminó el código que bloqueó la explotación de desplazamiento “. Tasas de la base de datos de vulnerabilidad nacional Tasas de vulnerabilidad de WordPress como crítico WordFence dice que no es necesario entrar en pánico Los investigadores de seguridad en WordFence declararon que no hay necesidad de pánico . En su opinión de expertos.En adelante, la palabra afinó la probabilidad de que ocurra una explotación debido a esta vulnerabilidad. “En nuestra evaluación, explotando con éxito esta vulnerabilidad requeriría que una gran cantidad de factores se alineen, incluida la presencia de al menos una vulnerabilidad adicional En un complemento u otro componente instalado en el sitio, así como la presencia de un método mágico vulnerable. Actualmente no estamos cuenta actualmente de cualquier complemento que pueda usarse para explotar esta vulnerabilidad incluso como administrador del sitio. Es poco probable que esto sea utilizado como un vector de intrusión, aunque es posible que los atacantes ya pudieran usar un nivel de acceso para escalar sus privilegios “. AnuncioContinue leyendo a continuación. Actualizar WordPress inmediatamente Los editores que usan WordPress deben considerar verificar si sus instalaciones de WordPress son las últimas. La versión más actual de WordPress es la versión 5.7.2. Debido a que la calificación de vulnerabilidad es fundamental, puede significar que las consecuencias de no actualizar WordPress a la versión 5.7.2 pueden dejar un sitio vulnerable a un evento de piratería. Citación Anuncio de WordPress de la versión 5.7.2 Análisis de WordFence: WordPress 5.7.2 Liberación de seguridad: lo que necesita saber

Leave a Reply

Your email address will not be published. Required fields are marked *