CSIRT Panamá Aviso 2018-12-13– WordPress 5.0.1, actualización de seguridad.
Gravedad: Alta
Fecha de publicación: Diciembre 13, 2018
Fecha de modificación: Diciembre 13, 2018
Última revisión: Revisión A.
I. Descripción
WordPress 5.0.1 ya está disponible. Esta es una versión de seguridad para todas las versiones desde WordPress 3.7.
II. Impacto
Las versiones de WordPress 5.0 y anteriores se ven afectadas por los siguientes errores, que se han corregido en la versión 5.0.1. Las versiones actualizadas de WordPress 4.9 y versiones anteriores también están disponibles para usuarios que aún no se han actualizado a 5.0.
• los autores podían alterar los metadatos para eliminar archivos para los que no estaban autorizados.
• los autores podían crear publicaciones de tipos de publicaciones no autorizadas con información especialmente diseñada.
• los colaboradores podían crear metadatos de una manera que resultara en la inyección de objetos PHP.
• los colaboradores podían editar nuevos comentarios de usuarios con privilegios más altos, lo que podría generar una vulnerabilidad de scripts entre sitios.
• las entradas de URL especialmente diseñadas podrían conducir a una vulnerabilidad de scripts entre sitios en algunas circunstancias. WordPress en sí no se vio afectado, pero los complementos podrían estar en algunas situaciones.
• los motores de búsqueda podrían indexar la pantalla de activación del usuario en algunas configuraciones poco comunes, lo que provocaría la exposición de las direcciones de correo electrónico y, en algunos casos raros, las contraseñas generadas por defecto.
• los sitios alojados en Apache podrían cargar archivos especialmente diseñados que eviten la verificación MIME, lo que lleva a una vulnerabilidad de scripts entre sitios.
III. Referencia a soluciones, herramientas e información
Le recomendamos encarecidamente que actualice sus sitios de inmediato realizar la descarga de la nueva versión WordPress 5.0.1 mediante el siguiente enlace (https://wordpress.org/download/) o acceda a Dashboard → Actualizaciones y haga clic en “Actualizar ahora”.
IV. Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la
Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Facebook: http://www.facebook.com/CSIRTPanama
Key ID: 16F2B124