WordPress 4.8.3 repara una grave vulnerabilidad

WordPress 4.8.3 repara una grave vulnerabilidad que permitía la posibilidad de una inyección sql. Debes actualizar tu sistema WordPress urgentemente.

Por fin… WordPress se a dignado a lanzar la versión 4.8.3, en la cual se repara una alarmante vulnerabilidad de seguridad que permitía una inyección de seguridad en SQL, increíble que todas las instalaciones de wordpress hayan permanecido expuestas durante semanas, increíble.

“Todas las versiones de WordPress, incluida la 4.8.2 y anteriores se ven afectadas por un problema donde $ wpdb-> prepare () puede crear consultas inesperadas e inseguras que llevan a un atacante a una posible inyección SQL (SQLi)”, escribió el desarrollador de WordPress Gary Pendergast en el anuncio de la publicación. “El núcleo de WordPress no es directamente vulnerable a este problema, pero lo hemos reforzado para evitar que los complementos y temas causen una vulnerabilidad accidental”.

WordPress es uno de los CMS más usado por los desarrolladores web en la actualidad, se calcula que mas de un 25% de todos los sitios web a nivel mundial lo usan. La omnipresencia de WordPress hace que los problemas de seguridad sean impactantes, gracias al volumen de sitios donde está implantado.

El problema de SQLi fue reportado a WordPress por el investigador de seguridad Anthony Ferrara, el cual estaba bastante mosqueado por la forma despreocupada que el equipo de WordPress se tomo el gravisimo fallo. El investigador aviso al equipo de desarrollo de wordpress el 20 de septiembre, una semana después del lanzamiento de la actualización a WordPress 4.8.2, que se suponía que solucionaba el problema de inyección SQLi.

El problema con la actualización a WordPress 4.8.2 y siempre según Ferrara, fue que la solución realmente presentaba nuevos y más graves problemas de seguridad en los complementos de WordPress.

“Están ignorando el nuevo potencial SQLi, y se niegan a solucionar de forma correcta el problema original”, escribió Ferrara en Twitter el día 25 de septiembre. “Cerraron el informe de vulnerabilidad, por tanto, el WPDB sigue inseguro y su solución lo empeora, no mejora “.

Los desarrolladores de WordPress se comunicaron con Ferrara, pero a causa de una falta de respuestas por parte de WordPress se necesitaron semanas de comunicaciones, la mayoría de las veces inútiles. Durante ese período de tiempo, la vulnerabilidad permaneció abierta, pero no se divulgo públicamente, simplemente la ocultaron. Wordpress 4.8.3

 Ferraja dijo:

“Entiendo que hay prioridades contrapuestas, pero muestren atención. Demuestre que ha leído mi escrito. Y si alguien le dice que parece que no entiende algo, deténgase y obtenga una aclaración”.

La falta de seguridad en los plugins de WordPress es una gran exposicion para un ataque, eso lo sabe cualquier programador, no es algo nuevo.

WordPress implanto un sistema de parches automatizado en el núcleo del CMS. Por tanto las actualizaciones de seguridad del núcleo se instalan automáticamente de forma predeterminada, lo que ayuda a reducir un hackeo total (algo hicieron bien)

Lo que dice Ferrara es que WordPress no tiene suficientes programadores que se dediquen exclusivamente a temas de seguridad. La verdad es que casi su totalidad son voluntarios, cosa que parece increíble con lo que esta moviendo wordpress actualmente. Wordpress 4.8.3

Los voluntarios pueden colaborar, pero es necesario la contratación de expertos en vulnerabilidades en wordpress.

“Todo se reduce a que las compañías que ganan mucho dinero, pero no cuentan con personal suficiente, al final más que novedades nos ofrecen problemas”. WordPress 4.8.3.

WordPress 4.8.3 repara una grave vulnerabilidad
4.7 (93.33%) 3 Votos

Agregar comentario

Suscribete

Suscribete a nuestro newsletter y mantente informado con nuestros últimos artículos, noticias y más. Todo completamente gratis.

Tu suscripción a sido realizada con éxito.