WordPress corrige fallas explotadas activamente

Una nueva versión de WordPress lanzada el jueves corrige dos vulnerabilidades críticas de scripting entre sitios (XSS) que podrían permitir a los atacantes comprometer sitios web.

Uno de los defectos se encuentra en el paquete de fuentes de iconos Genericons que utilizan varios temas y complementos populares, incluido el tema predeterminado de WordPress TwentyFifteen.

Investigadores de la firma de seguridad web Sucuri advirtieron el miércoles que ya han visto ataques dirigidos a esta vulnerabilidad XSS.

Para explotarlo, los atacantes deben engañar a los usuarios para que hagan clic en enlaces específicamente diseñados, pero una vez que lo hacen, pueden aprovechar la falla para robar cookies de autenticación. Si la víctima es el administrador de un sitio web, podría obtener el control total sobre ese sitio web.

La vulnerabilidad se puede mitigar eliminando el archivo example.html que forma parte del paquete Genericons o actualizando al recientemente lanzado WordPress 4.2.2.

"Todos los temas y complementos afectados alojados en WordPress.org (incluido el tema predeterminado Twenty Fifteen) han sido actualizados hoy por el equipo de seguridad de WordPress para abordar este problema eliminando este archivo no esencial", dijeron los desarrolladores de WordPress en el anuncio de lanzamiento..

Una vez instalado, WordPress 4.2.2 escanea el directorio del sitio en busca del archivo HTML vulnerable y elimina todas las instancias del mismo..

Además, la nueva versión parchea una segunda falla crítica de scripting entre sitios que, según los desarrolladores de WordPress, podría permitir que usuarios anónimos comprometan un sitio. También endurece las defensas para un posible problema de XSS en el editor visual.

Únase a las comunidades de Network World en Facebook y LinkedIn para comentar temas que son lo más importante.