El 6 de enero de 2022, WordPress.org lanzó una actualización de seguridad y recomendó a los usuarios y administradores de sistemas que “actualicen sus sitios de inmediato”. Esta actualización de seguridad corrige 4 vulnerabilidades que afectan a las versiones WordPress entre 3.7 y 5.8 que tienen una calificación de hasta 8 en una escala de 1 a 10. Las vulnerabilidades se encuetran en el propio núcleo de WordPress.
WordPress es un sistema de gestión de contenidos (CMS) que permite crear y mantener un sitio web. Esta aplicación fue lanzada el 27 de mayo de 2003 de libre distribución (GPL) donde se puede utilizar y modificar de forma gratuita.
La Agencia de seguridad de infraestructura y ciberseguridad de los Estados Unidos alerto sobre estas vulnerabilidades que podría causar una condición de denegación de servicio. Animando a los usuarios realizar la actualización lo antes posible a la versión WordPress 5.8.3.
WordPress.org agradeció a los investigadores de revelar las vulnerabilidades responsablemente y le dio tiempo para hacer las modificaciones necesarias y entregar una actualización antes de ser explotadas por los cibercriminales. Pero debido que ya son conocidas las vulnerabilidades es importante realizar las actualizaciones correspondientes.
Las cuatro vulnerabilidades y sus Investigadores:
- Inyección SQL debido a la falta de saneamiento de datos en WP_Meta_Query (gravedad alta 7.4) – Ben Bidner del equipo de seguridad de WordPress
- Inyección de objetos autenticados en multisitios (gravedad media 6.6) – Simon Scannell de SonarSource
- Secuencias de comandos entre sitios (XSS) almacenadas a través de usuarios autenticados (gravedad alta 8.0) – Karim El Ouerghemmi y Simon Scannell de SonarSource
- Inyección SQL a través de WP_Query debido a una desinfección inadecuada (gravedad alta, 8.0) – Ngocnb y khuyenn de GiaoHangTietKiem JSC y Trend Micro Zero Day Initiative