WordPress va anunciar una versió de seguretat i manteniment, versió 5.8.1. És important actualitzar WordPress, especialment les versions 5.4 a 5.8 per solucionar tres problemes de seguretat.
Versió de seguretat i manteniment de WordPress 5.8.1
No és estrany que WordPress ni cap altre programari publiquin una actualització de correcció d’errors després d’una actualització important de la versió per tal de solucionar problemes imprevistos i introduir millores que no ho van fer a temps per a la versió principal.
A WordPress aquestes actualitzacions s’anomenen una versió de manteniment.
Aquesta actualització també inclou una actualització de seguretat, que és una cosa poc freqüent per al nucli de WordPress. Això fa que aquesta actualització sigui més important que la versió de manteniment típica.
Publicitat
Continueu llegint a continuació
S’han solucionat els problemes de seguretat de WordPress
WordPress 5.8.1 soluciona tres vulnerabilitats:
- Una vulnerabilitat d’exposició de dades dins de l’API REST
- Vulnerabilitat de Cross-Site Scripting (XSS) a l’editor de blocs de Gutenberg
- Múltiples vulnerabilitats crítiques a elevades gravitats a la biblioteca JavaScript Lodash
Les tres vulnerabilitats anteriors són tan preocupants que l’anunci de WordPress recomana actualitzar immediatament les instal·lacions de WordPress.
Vulnerabilitat de l’API REST
L’API REST de WordPress és una interfície que permet als connectors i temes interactuar amb el nucli de WordPress.
L ‘API REST ha estat una font de vulnerabilitats de seguretat, inclosa la més recent amb el Vulnerabilitat de Gutenberg Template Library i Redux Framework que va afectar més d’un milió de llocs web.
Publicitat
Continueu llegint a continuació
Aquesta vulnerabilitat es descriu com una vulnerabilitat a l’exposició de dades, el que significa que es podria revelar informació sensible. En aquest moment no hi ha altres detalls sobre quin tipus d’informació, però pot ser tan severa com les contrasenyes de dades que es puguin utilitzar per muntar un atac a través d’una altra vulnerabilitat.
Vulnerabilitat de WordPress Gutenberg XSS
Les vulnerabilitats d’escriptura entre llocs (XSS) es produeixen amb relativa freqüència. Es poden produir sempre que hi hagi una entrada d’usuari, com ara un formulari de contacte o de correu electrònic, qualsevol tipus d’entrada que no estigui “sanejada” per evitar la pujada de scripts que poden provocar un comportament no desitjat a la instal·lació de WordPress.
El projecte de seguretat d’aplicacions web obertes (OWASP) descriu el potencial danys de vulnerabilitats XSS:
“Un atacant pot utilitzar XSS per enviar un script maliciós a un usuari que no sospita. El navegador de l’usuari final no té manera de saber que no s’ha de confiar en l’script i l’executarà.
Com que creu que l’script prové d’una font de confiança, l’script maliciós pot accedir a qualsevol galeta, testimoni de sessió o altra informació confidencial que el navegador conservi i s’utilitzi amb aquest lloc. Aquests scripts poden fins i tot reescriure el contingut de la pàgina HTML “.
Aquesta vulnerabilitat específica afecta l’editor de blocs de Gutenberg.
Publicitat
Continueu llegint a continuació
Vulnerabilitats de la biblioteca JavaScript de Lodash de WordPress
Aquestes vulnerabilitats poden ser les més preocupants. La biblioteca JavaScript de Lodash és un conjunt de scripts utilitzats per desenvolupadors que han demostrat tenir diverses vulnerabilitats.
La versió més recent i segura és Lodash 4.17.21.
El lloc web de la llista CVE patrocinat per la Seguretat Nacional dels Estats Units detalla la vulnerabilitat:
“Les versions de Lodash anteriors a la 4.17.21 són vulnerables a la injecció d’ordres mitjançant la funció de plantilla.”
Sembla que n’hi ha moltes altres vulnerabilitats que afecta la biblioteca Lodash a la branca 4.1.7 també.
WordPress insta l’actualització immediata
Aquestes vulnerabilitats de seguretat afegeixen una sensació d’urgència a aquesta actualització. WordPress recomana que tots els editors actualitzin.
Publicitat
Continueu llegint a continuació
L’anunci oficial de WordPress recomana actualitzar:
“Com que es tracta d’una versió de seguretat, es recomana actualitzar els llocs immediatament. També s’han actualitzat totes les versions des de WordPress 5.4 “.
