WordPress 5.7.2 es una actualización para corregir una vulnerabilidad de inyección de objetos calificada por la base de datos nacional de vulnerabilidades como crítica.
Se corrigió una vulnerabilidad de WordPress clasificada como crítica. El parche se aplica a la versión 5.7.2 de WordPress. Los sitios que tengan habilitada la descarga automática deberían recibir esta actualización sin ninguna acción adicional por parte de los propietarios.
Se aconseja a los propietarios a comprobar qué versión de WordPress están utilizando para asegurarse que estén actualizados a la versión 5.7.2.
La vulnerabilidad que está afectando a WordPress se llama vulnerabilidad de inyección de objetos (Object Injection) en la librería PHPMailer.
Definición
La inyección de objetos PHP es una vulnerabilidad a nivel de aplicación que podría permitir a un atacante realizar diferentes tipos de ataques maliciosos, como inyección de código, inyección de SQL, Path Traversal y denegación de servicio de la aplicación, según el contexto.
La vulnerabilidad ocurre cuando la entrada proporcionada por el usuario no se prueba adecuadamente antes de pasarla a la función PHP unserialize ().
Dado que PHP permite la serialización de objetos, los atacantes podrían pasar cadenas serializadas ad-hoc a una llamada unserialize () vulnerable, lo que da como resultado una inyección arbitraria de objetos PHP en el ámbito de la aplicación.
Vulnerabilidad de inyección de objetos en PHPMailer descubierta en WordPress (un problema de seguridad que afecta a las versiones de WordPress entre 3.7 y 5.7).
Solución
Actualizar WordPress a la última versión disponible (al menos 5.7.2). Todas las versiones de WordPress desde la 3.7 también se han actualizado para solucionar este problema de seguridad descrito.
Mario es un Consultor y Desarrollador de Sistemas Informáticos desde hace más de 25 años, especializado en Software Libre y multiplataforma (GNU/Linux, Mac, Windows). Webmaster, App Dev, DBA, SEO y Profesor – Jugador de Ajedrez