Aconsejan actualizar WordPress a versión 4.8.3 por vulnerabilidad de inyección SQL

240

Cualquier persona que ejecute un sitio web con tecnología de WordPress recibirá una actualización a la versión 4.8.3 inmediatamente después del descubrimiento de un problema grave de seguridad.

El problema, una vulnerabilidad de inyección SQL, afecta a millones de sitios web que ejecutan WordPress 4.8.2 y versiones anteriores. Además de instalar la última actualización, se recomienda a los propietarios de los sitios que actualicen los complementos que podrían explotarse.

La vulnerabilidad fue descubierta por Anthony Ferrara de Lingo Live, quien dio la noticia diciendo: “Antes de seguir leyendo, si aún no lo ha actualizado, deténgase ahora y actualícelo”.

Supuestamente, WordPress 4.8.2 solucionó el error de inyección SQL el mes pasado, pero en realidad esta actualización en particular causó problemas con una gran cantidad de sitios y no resolvió la causa raíz de la vulnerabilidad. Ferrara dice que informó a WordPress sobre el problema inmediatamente después del lanzamiento de la última actualización, pero su consejo no fue atendido.

Ahora, con WordPress 4.8.3, el agujero de seguridad se ha bloqueado. Ferrara dice:

Simplemente actualice a 4.8.3 y actualice los complementos que reemplazan $wpdb (como HyperDB, LudicrousDB, etc.). Eso debería ser suficiente.

En el sitio web de WordPress, Gary Pendergest le agradece a Ferrara y explica el problema:

WordPress 4.8.3 ya está disponible. Este es un lanzamiento de seguridad para todas las versiones anteriores y le recomendamos encarecidamente que actualice sus sitios de inmediato.

Las versiones de WordPress 4.8.2 y anteriores se ven afectadas por un problema en el que $wpdb-> prepare () puede crear consultas inesperadas e inseguras que conducen a una posible inyección SQL (SQLi). El núcleo de WordPress no es directamente vulnerable a este problema, pero hemos reforzado para evitar que los complementos y temas causen una vulnerabilidad accidentalmente. Reportado por Anthony Ferrara.

Esta versión incluye un cambio en el comportamiento de la función esc_sql (). La mayoría de los desarrolladores no se verán afectados por este cambio, puede leer más detalles en la nota del desarrollador.

Comentarios