Hoy ha sido liberada la versión WordPress 4.7.5 (inglés) que viene para corregir seis problemas de seguridad que afectan a la versión WordPress 4.7.5 y todas las anteriores. Los usuarios de la versión 3.7 o inferior, necesitarán realizar la actualización manualmente.
Las vulnerabilidades corregidas en la versión 4.7.5, que detallamos aquí:
- Validación de redireccionamiento insuficiente en la clase HTTP
- Manejo inapropiado de valores de metadatos del post en la API de XML-RPC
- Falta de comprobaciones de capacidad para los metadatos en la API de XML-RPC
- Una vulnerabilidad de Cross Site Request (CRSF) fue descubierta en el diálogo de credenciales del sistema de archivos.
- Fue descubiertauna vulnerabilidad de XSS (cross-site scripting) al intentar cargar archivos muy grandes.
- Fue descubiertauna vulnerabilidad de XSS (cross-site scripting) relacionada con el Customizer.
Varias de las vulnerabilidades mencionadas arriba fueron descubiertas por el equipo de seguridad de HackerOne.
Te recomendamos encarecidamente actualizar y escalar tu sitio web de WordPress a la versión vigente 4.7.5 si tienes deshabilitada la actualización automática.
Si sigues usando WordPress 4.7.4 u otra versión anterior, es muy probable que tu sitio sufra algún ataque que intente approvechar estas vulnerabilidades.