Nueva actualización de seguridad para WordPress, la nueva versión 3.1.3 que mejora la seguridad con aportaciones de Alexander Concha (buayacorp).
Incluye diferentes mejoras y soluciona problemas de seguridad que podemos ver en el changelog. Además se ha anunciado también el lanzamiento del segunda beta de WordPress 3.2, una versión de pruebas que no debemos poner en un sitio en producción.
Como toda actualización de seguridad es importante y muy conveniente actualizar a la mayor brevedad posible.
Entre las mejoras no explicadas detalladamente en el anuncio oficial tenemos las siguientes:
- La vulnerabilidad SA44409 fue corregida por el changeset 18014. Esto autorizaba a subir archivos que permitían la ejecución de código php, siempre y cuando la configuración de Apache permita aceptar múltiples extensiones. Esto es una variante de un falla anterior.
- El changeset 18018 corrige uno de los varios problemas que reporté, en principio permitía al igual que el anterior, la ejecución de código php, con la diferencia de que no es necesario ningún tipo de configuración en especial. Tal vez dentro de un tiempo llegue a publicar el exploit que hice. También corrige fallas que permitían realizar ataques XSS.
- El changeset 18019 corrige problemas que permiten realizar ataques XSS.
- El changeset 18023 está relacionado con un problema relacionado a la privacidad de los backups de wordpress.
Vía: buayacorp.