CSIRT Panamá Aviso 2017-03 – WordPress 4.7.3: Actualización de seguridad y mantenimiento
Gravedad: Crítica
Fecha de publicación: Marzo 9, 2017
Fecha de modificación: Marzo 9, 2017
Última revisión: Revisión A.
Fuente: https://wordpress.org
Sistemas Afectados:
Todas las versiones de WordPress 4.7.2 y anteriores
I. Descripción
Se ha publicado la versión 4.7.3 de WordPress destinada a solucionar seis vulnerabilidades, que podrían permitir la realización de ataques de cross-site scripting y CSRF.
II. Impacto:
Sin esta actualización podrían permitir la realización de ataques como:
· Cross-site scripting (XSS) a través de metadatos de archivos de medios. Informado por Chris Andrè Dale, Yorick Koster y Simon P. Briggs.
· Los caracteres de control pueden engañar a la validación de redirección de la URL. Informado por Daniel Chatfield.
· Los administradores pueden borrar archivos sin querer al usar la funcionalidad de borrado de plugins. Informado por xuliang.
· Cross-site scripting (XSS) a través de la URL del vídeo en incrustados de YouTube. Informado por Marc Montpas.
· Cross-site scripting (XSS) a través de nombres de términos de taxonomías. Informado por Delta.
· Cross-site request forgery (CSRF) en Publicar esto que lleva a un consumo excesivo de recursos del servidor. Informado por Sipke Mellema.
III. Recomendación:
· Se recomienda actualizar wordpress a su ultima versión.
IV. Referencia a soluciones, herramientas e información:
· https://wordpress.org/news/2017/03/wordpress-4-7-3-security-and-maintenance-release/
· https://es.wordpress.org/2017/03/06/wordpress-4-7-3-actualizacion-de-seguridad-y-mantenimiento/
IV. Información de contacto
CSIRT PANAMA
Autoridad Nacional para la Innovación Gubernamental
E-Mail: info@cert.pa
Web: http://www.cert.pa