WordPress 5.5.2 – Actualización de seguridad y mantenimiento

Publicado el por Fernando Tellado.Categorías Actualizaciones, Mantenimiento, SeguridadEtiquetas ,

¡Ya está disponible WordPress 5.5.2!

Esta actualización de seguridad y manteniniento incluye 14 correcciones de fallos además de 10 correcciones de seguridad. Al ser una actualización de seguridad se recomienda que actualices tu ssitios inmediatamente. También se han actualizado todas las versiones desde WordPress 3.7.

WordPress 5.5.2 es una actualización de seguridad y mantenimiento de ciclo corto. La siguiente versión mayor será la 5.6.

Puedes descargar WordPress 5.5.2 desde WordPress.org, o visitar tu «Escritorio → Actualizaciones» y hacer clic en «Actualizar ahora».

Si tienes sitios con las actualizaciones en segundo plano activas ya ha empezado el proceso de actualización.

Actualizaciones de seguridad

Hay 10 problemas de seguridad que afectan a las versiones de WordPress 5.5.1 y anteriores. Si aún no has actualizado a la versión 5.5, todas las versiones de WordPress dese la 3.7 también se han actualizado para corregir los siguientes problemas de seguridad:

  • Gracias a Alex Concha del equipo de seguridad de WordPress por su trabajo en reforzar la deserialización de peticiones.
  • Gracias a David Binovec por una corrección para desactivar incrustados spam desde sitios desactivados en una red multisitio.
  • Gracias a Marc Montas de Sucuri por informar de un problema que podría llevar a un XSS de variables globales.
  • Gracias a Justin Tran que informó de un problema sobre el escalado de privilegios en XML-RPC. También descubrió e informó de un problema de escalado de privilegios al comentar a través de XML-RPC.
  • Gracias a Omar Ganiev que informó de un método por el que un ataque DoS podría llevar a RCE.
  • Gracias a Karim El Ouerghemmi de RIPS que mostró un método para almacenar XSS en slugs de entradas.
  • Gracias a Slavco por informar, y a Karim El Ouerghemmi por confirmarlo, de un método para saltarse metas protegidos que podrían llevar a un borrado arbitrario de archivos.
  • Gracias a Erwan LR de WPScan que difundió responsablemente un método que podría llevar a CSRF.
  • Y un agradecimiento especial a @zieladam que ha sido parte integral de muchas de las actualizaciones y parches de esta versión.

Gracias a todos los que han informado por divulgar de manera privada las vulnerabilidades. Esto dió al equipo de seguridad tiempo para corregir las vulnerabilidades antes que pudiesen atacarse los sitios WordPress.

Para más información revisa la lista completa de cambios en el Trac, o echa un vistazo a la página de documentación de la versión 5.5.2 en HelpHub.

¡Agradecimientos y reconocimientos!

La versión 5.5.2 la lideró @whyisjake y el siquiente equipo:  @audrasjb@davidbaumwald@desrosj@johnbillion@metalandcoffee@noisysocks @planningwrite@sarahricker y @sergeybiryukov.

Además de los investigadores de seguridad y miembros del equipo mencionados arriba, gracias a todos los que ayudaron a que WordPress 5.5.2 esté disponible:

Aaron JorbinAlex ConchaAmit DudhatAndrey “Rarst” SavchenkoAndy FragenAyesh KarunaratnebridgetwillardDaniel RichardsDavid BaumwaldDavis Shaverdd32Florian TIARHareeshHugh LashbrookeIan DunnIgor RadovanovJake SpurlockJb AudrasJohn BlackbournJonathan DesrosiersJon BrownJoyJuliette Reinders Folmerkellybleckmailnew2sterMarcus KazmierczakMarius L. J.Milan DinićMohammad JangdaMukesh PanchalPaal Joachim RomdahlPeter WilsonRegan KhadgiRobert AndersonSergey BiryukovSergey YakimovSyed Balkhiszaqal21TellyworthTimi WahalahtiTimothy JacobsTowhidul I. ChowdhuryVinayak Anivasezieladam.

Deja una respuesta