WordPress ha anunciado la versión de seguridad 6.4.3 como respuesta a dos vulnerabilidades descubiertas en la plataforma, además de solucionar 21 errores.
Vulnerabilidad de Omisión de Carga de Archivos PHP
El primer parche es para una vulnerabilidad de omisión de carga de archivos PHP a través del instalador de plugins. Se trata de un fallo en WordPress que permite a un atacante cargar archivos PHP mediante el cargador de plugins y temas. PHP es un lenguaje de scripting utilizado para generar HTML y también puede ser usado para inyectar malware en un sitio web.
Sin embargo, esta vulnerabilidad no es tan grave como parece porque el atacante necesita permisos de administrador para ejecutar este ataque.
Vulnerabilidad de Inyección de Objetos PHP
Según WordPress, el segundo parche es para una vulnerabilidad de Ejecución Remota de Código (RCE) a través de cadenas POP, que podría permitir a un atacante ejecutar código de forma remota.
Una vulnerabilidad RCE mediante cadenas POP típicamente implica un fallo que permite a un atacante, usualmente manipulando entradas que el sitio de WordPress deserializa, ejecutar código arbitrario en el servidor.
La deserialización es el proceso donde los datos se convierten en un formato serializado (como una cadena de texto); la deserialización es cuando se convierten de nuevo a su forma original.
Wordfence describe esta vulnerabilidad como una vulnerabilidad de inyección de objetos PHP y no menciona la parte de las cadenas POP RCE.
Así es como Wordfence describe la segunda vulnerabilidad de WordPress:
"El segundo parche aborda la forma en que se almacenan las opciones: primero las sanea antes de verificar el tipo de datos de la opción. Los arrays y objetos son serializados, al igual que los datos ya serializados, que se vuelven a serializar. Aunque esto ya ocurre cuando se actualizan las opciones, no se realizaba durante la instalación, inicialización o actualización del sitio."
Esta también es una vulnerabilidad de baja amenaza ya que un atacante necesitaría permisos de administrador para lanzar un ataque exitoso.
Recomendación de Actualización
No obstante, el anuncio oficial de WordPress sobre la actualización de seguridad y mantenimiento recomienda actualizar la instalación de WordPress:
"Debido a que esta es una versión de seguridad, se recomienda que actualices tus sitios de inmediato. También hay retrocompatibilidades disponibles para otras versiones principales de WordPress, desde la 4.1 en adelante."
Corrección de Errores en el Núcleo de WordPress
Esta versión también corrige cinco errores en el núcleo de WordPress:
- El texto no se resalta al editar una página en las últimas versiones de Chrome Dev y Canary.
- Actualización de la versión predeterminada de PHP utilizada en el entorno local de Docker para ramas más antiguas.
- Mensajes/errores de inicio de sesión en wp-login.php.
- Deprecado print_emoji_styles producido durante la incrustación.
- Las páginas de adjuntos solo están deshabilitadas para los usuarios que están logueados.
Además de las cinco correcciones mencionadas en el núcleo, hay 16 correcciones adicionales en el Editor de Bloques.
Lee en el sitio oficial de WordPress la Actualización de Seguridad y Mantenimiento de WordPress 6.4.3
