WordPress 4.9.1, actualización de seguridad y mantenimiento

Ya está disponible WordPress 4.9.1. Esta es una actualización de seguridad y mantenimiento para todas las versiones desde WordPress 3.7. Te recomendamos encarecidamente que actualices inmediatamente tus sitios.

Las versiones de WordPress 4.9 y anteriores están afectadas por problemas de seguridad que podrían, potencialmente, ser aprovechados como parte de un ataque en varios vectores. Como parte del lanzamiento en marcha del equipo principal del núcleo, para fortalecer las seguridad, se han implementado las siguientes soluciones en la versión 4.9.1:

  1. Uso de un hast generado correctamente en la clave newbloguser en vez de una subcadena determinada.
  2. Añadido un escape a los atributos de idioma utilizados en los elementos html.
  3. Asegurar que los cierres de atributos se escapan correctamente en los feeds RSS y Atom.
  4. Eliminada la posibilidad de subir archivos JavaScript por los usuarios que no tengan la capacidad de unfiltered_html.

Gracias a los que han informado de estos problemas por practicar la divulgación responsable: Rahul Pratap Singh y John Blackbourn.

Se han solucionado otros once fallos en WordPress 4.9.1. En concreto citamos estos:

  • Problemas relacionados con la caché de los archivos de plantillas de temas.
  • Un error de MediaElement JavaScript que impedía que usuarios de ciertos idiomas pudieran subir archivos de medios.
  • La imposibilidad de editar archivos de temas y plugins en servidores basados en Windows.

Si quieres aprender más esta entrada tiene más información sobre los problemas solucionados en la versión 4.9.1.

Descarga WordPress 4.9.1 o pásate por tu Escritorio → Actualizaciones y simplemente haz clic en “Actualizar ahora.”Los sitios compatibles con las actualizaciones automáticas en segundo plano ya se están actualizando a WordPress 4.9.1

Gracias a todos los que han colaborado con la versión 4.9.1

Alain SchlesserAndrea FerciaAngelika ReisigerBlobfoliobobbingwideChetan PrajapatiDion HulseDominik Schilling (ocean90)edo888Erich MunzFelix ArntzFlorian TIARGary PendergastIgor BenicJeff FarthingJeffrey PauljeremyescottJoe McGillJohn BlackbournjohnpgreenKelly DwanlenastergMarius L. J.Mel ChoyceMário ValneynatacadoodysseypreciesSašaSergey Biryukov y Weston Ruter.

WordPress 4.8.3, actualización de seguridad

WordPress 4.8.3 está disponible. Es una actualización de seguridad para todas las versiones previas y te animamos encarecidamente a actualizar inmediatamente tus sitios.

Las versiones de WordPress 4.8.2 y anteriores están afectadas por un problema por el que $wpdb->prepare() puede crear peticiones inseguras e inesperadas que podrían generar potenciales inyecciones SQL (SQLi). El núcleo de WordPress no es vulnerable por sí mismo a este problema, pero hemos añadido esta actualización para fortalecerlo y evitar que plugins y temas provoquen accidentalmente una vulnerabilidad. Informado por Anthony Ferrara.

Esta versión incluye un cambio en el comportamiento de la función esc_sql(). La mayoría de los desarrolladores no se verán afectados por este cambio, y puedes leer más detalles en la nota de desarrollo.

Gracias a quien ha informado por practicar la divulgación responsable.

Descarga WordPress 4.8.3 o pásate por tu Escritorio → Actualizaciones y simplemente haz clic en “Actualizar ahora.”Los sitios compatibles con las actualizaciones automáticas en segundo plano ya se están actualizando a WordPress 4.8.3.

WordPress 4.8.2, actualización de seguridad y mantenimiento

WordPress 4.8.2 está disponible. Es una actualización de seguridad de todas las versiones anteriors y te animamos encarecidamente a que actualices tus sitios de inmediato.

Las versiones de WordPress 4.8.1 y anteriores están afectadas por estos problemas de seguridad:

  1. $wpdb->prepare() puede crear peticiones inseguras e inesperadas que lleven a una inyección SQL (SQLi). El núcleo de WordPress no es directamente vulnerable a este problema pero hemos añadido un refuerzo para evitar que plugins y temas provoquen accidentalmente una vulnerabilidad. Informado por Slavco
  2. Se ha descubierto una vulnerabilidad de cross-site scripting (XSS) en oEmbed discovery. Informado por xknown del equipo de seguridad de WordPress.
  3. Se ha descubierto una vulnerabilidad cross-site scripting (XSS) en el editor visual. Informado por Rodolfo Assis (@brutelogic) de Sucuri Security.
  4. Se ha descubierto una vulnerabilidad de ruta transversal en el código de descompresión de archivos. Informado por Alex Chapman (noxrnet).
  5. Se ha descubierto una vulnerabilidad cross-site scripting (XSS) en el editor de plugins. Informado por 陈瑞琦 (Chen Ruiqi).
  6. Se ha descubierto una redirección abierta en las pantallas de edición de usuarios y términos. Informado por Yasin Soliman (ysx).
  7. Se ha descubierto una vulnerabilidad de ruta transversal en el personalizador. Informado por Weston Ruter del equipo de seguridad de WordPress.
  8. Se ha descubierto una vulnerabilidad cross-site scripting (XSS) en los nombres de plantilla. Informado por Luka (sikic).
  9. Se ha descubierto una vulnerabilidad cross-site scripting (XSS) en la ventana emergente de añadir enlaces. Informado por Anas Roubi (qasuar).

Gracias a los que han informado por practicar la divulgación responsable.

Además de los problemas de seguridad de arriba, WordPress 4.8.2 contiene 6 mejoras de mantenimiento para las versiones 4.8. Para más información revisa las notas de la versión o consulta la lista de cambios.

Descarga WordPress 4.8.2 o pásate por tu Escritorio → Actualizaciones y simplemente haz clic en “Actualizar ahora.”Los sitios compatibles con las actualizaciones automáticas en segundo plano ya se están actualizando a WordPress 4.8.2.

Gracias a todos los que han colaborado con la versión 4.8.2.

WordPress 4.7.5, actualización de seguridad y mantenimiento

Ya está disponible WordPress 4.7.5. Esta es una actualización de seguridad para todas las versiones anteriores, y recomendamos encarecidamente que actualices tus sitios de inmediato.

Las versiones de WordPress 4.7.4 y anteriores están afectadas por seis problemas de seguridad:

  1. Validación insuficiente en redirecciones en la clase HTTP. Informado por Ronni Skansing.
  2. Gestión incorrecta de los valores de datos de los meta de entrada en la API XML-RPC. Informado por Sam Thomas.
  3. Falta de comprobaciones de capacidad en los datos meta de entrada de la API XML-RPC. Informado por Ben Bidner del equipo de seguridad de WordPress.
  4. Una vulnerabilidad Cross Site Request Forgery (CRSF) descubierta en el cuadro de diálogo de las credenciales del sistema de archivos. Informado por Yorick Koster.
  5. Una vulnerabilidad cross-site scripting (XSS) descubierta al tratar de subir archivos muy grandes. Informado por Ronni Skansing.
  6. Una vulnerabilidad cross-site scripting (XSS) descubierta relacionada con el Personalizador. Informado por Weston Ruter del equipo de seguridad de WordPress.

Gracias a los que han informado por practicar la divulgación responsable.

Además de los problemas de seguridad anteriores, WordPress 4.7.5 contiene 3 arreglos de mantenimiento de la versión 4.7.  Para más información revisa las notas de la versión o consulta la lista de cambios.

Descarga WordPress 4.7.5 o pásate por tu Escritorio → Actualizaciones y simplemente haz clic en “Actualizar ahora.”  Los sitios compatibles con actualizaciones en segundo plano ya están empezando a actualizarse a WordPress 4.7.5.

Gracias a todos los que han colaborado con la versión 4.7.5.

WordPress 4.7.3: Actualización de seguridad y mantenimiento

Ya está disponible WordPress 4.7.3. Esta es una actualización de seguridad para todas las versiones previas y te animamos encarecidamente a actualizar inmediatamente tus sitios.

Todas las versiones de WordPress 4.7.2 y anteriores están afectadas por seis problemas de seguridad:

  1. Cross-site scripting (XSS) a través de metadatos de archivos de medios. Informado por Chris Andrè Dale, Yorick Koster y Simon P. Briggs.
  2. Los caracteres de control pueden engañar a la validación de redirección de la URL. Informado por Daniel Chatfield.
  3. Los administradores pueden borrar archivos sin querer al usar la funcionalidad de borrado de plugins.  Informado por xuliang.
  4. Cross-site scripting (XSS) a través de la URL del vídeo en incrustados de YouTube. Informado por Marc Montpas.
  5. Cross-site scripting (XSS) a través de nombres de términos de taxonomías. Informado por Delta.
  6. Cross-site request forgery (CSRF) en Publicar esto que lleva a un consumo excesivo de recursos del servidor. Informado por Sipke Mellema.

Gracias a los que informaron de estos problemas practicando la revelación responsable.

Además de los problemas de seguridad informados arriba, WordPress 4.7.3 contiene 39 ajustes de mantenimiento para toda la serie de versiones 4.7. Para más información revisa las notas de la versión o consulta la lista de cambios.

Descarga WordPress 4.7.3 o pásate por el escritorio de WordPress → Actualizaciones y simplemente haz clic en “Actualizar ahora”Los sitios compatibles con las actualizaciones automáticas en segundo plano ya se están actualizando solos a WordPress 4.7.3.

Gracias a todos los que han colaborado con la versión 4.7.3: Aaron D. Campbell, Adam Silverstein, Alex Concha, Andrea Fercia, Andrew Ozz, asalce, blobfolio, bonger, Boone Gorges, Boro Sitnikovski, Brady Vercher, Brandon Lavigne, Bunty, ccprog, chetansatasiya, David A. Kennedy, David Herrera, Dhanendran, Dion Hulse, Dominik Schilling (ocean90), Drivingralle, Ella Van Dorpe, Gary Pendergast, Ian Dunn, Ipstenu (Mika Epstein), James Nylen, jazbek, Jeremy Felt, Jeremy Pry, Joe Hoyle, Joe McGill, John Blackbourn, John James Jacoby, Jonathan Desrosiers, Kelly Dwan, Marko Heijnen, MatheusGimenez, Mike Nelson, Mike Schroder, Muhammet Arslan, Nick Halsey, Pascal Birchler, Paul Bearne, pavelevap, Peter Wilson, Rachel Baker, reldev, Robert O’Rourke, Ryan Welcher, Sanket Parmar, Sean Hayes, Sergey Biryukov, Stephen Edgar, triplejumper12, Weston Ruter y wpfo.

WordPress 4.7.2 – Actualización de seguridad

Ya está disponible WordPress 4.7.2. Es una actualización de seguridad para todas las versiones y te animamos encarecidamente a actualizar tus sitios de inmediato.

Las versiones de WordPress 4.7.1 y anteriores están afectadas por estos tres problemas de seguridad:

  1. La interfaz de usuario en la que se asignan términos a taxonomías en Publicar esto se muestra a usuarios que no tienen permisos para usarlas. Informado por David Herrera de Alley Interactive.
  2. WP_Query rs vulnerable a una inyección SQL (SQLi) al pasar datos no seguros. El núcleo de WordPress no es vulnerable directamente a este problema pero hemos añadido refuerzo para evitar que plugins y temas puedan provocar accidentalmente una vulnerabilidad. Informado por Mo Jangda (batmoo).
  3. Se ha descubierto una vulnerabilidad de cross-site scripting (XSS) en la tabla de lista de entradas. Informado por Ian Dunn del equipo de seguridad de WordPress.

Gracias a los que informaron de estos problemas practicando la revelación responsable.

Descarga WordPress 4.7.2 o pásate por el escritorio de WordPress → Actualizaciones y simplemente haz clic en “Actualizar ahora”Los sitios compatibles con las actualizaciones automáticas en segundo plano ya se están actualizando solos a WordPress 4.7.2.

WordPress 4.7.1 Actualización de Mantenimiento y Seguridad

WordPress 4.7 se ha descargado ya más de 10 millones de veces desde su lanzamiento el 6 de diciembre de 2016, y estamos encantados de anunciar la disponibilidad inmediata de WordPress 4.7.1. Esta es una actualización de seguridad de todas las versiones anteriores y te animamos encarecidamente a actualizar tus sitios de inmediato.

Las versiones de WordPress 4.7 y anteriores están afectadas por ocho problemas de seguridad:

  1. Ejecución de código remoto en PHPMailer – No hay ningún problema específico que afecte a WordPress o a los principales plugins que hemos investigado pero, por precaución, hemos actualizado PHPMailer en esta versión Este problema lo informaron a PHPMailer Dawid Golunski y Paul Buonopane.
  2. La REST API exponía datos de usuario de todos los usuarios autores de una entrada o un tipo de contenido público. WordPress 4.7.1 limita esto solo a los tipos de contenido que se especifique que deban mostrarse en la REST API. Informaron Krogsgard y Chris Jean.
  3. Vulnerabilidad XSS a través del nombre del plugin o la cabecera de la versión en update-core.php. Informado por Dominik Schilling, del equipo de seguridad de WordPress.
  4. Vulnerabilidad CSRF al subir un archivo flash. Informado por Abdullah Hussam.
  5. Vulnerabilidad XSS mediante la retirada del nombre del tema. Informado por Mehmet Ince.
  6. La publicación por correo electrónico revisa mail.example.com si no han cambiado los ajustes por defecto. Informado por John Blackbourn, del equipo de seguridad de WordPress.
  7. Vulnerabilidad CSRF descubierta en e modo de accesibilidad de la edición de widgets. Informada por Ronnie Skansing.
  8. Seguridad criptográfica débil en la clave de activación de multisitio. Informado por Jack.

Gracias a todos los que han informado por practicar la revelación responsable.

Además de los anteriores problemas de seguridad, WordPress 4.7.1 soluciona 62 fallos desde la versión 4.7. Para más información revisa las notas de la versión o consulta la lista completa de cambios.

Descarga WordPress 4.7.1 o pásate por tu Escritorio → Actualizar y simplemente haz cic en “Actualizar ahora”. Los sitios compatibles con las actualizaciones automáticas en segundo plano ya se están actualizando solos a WordPress 4.7.1.

Gracias a todos los que han colaborado con la versión 4.7.1: Aaron D. Campbell, Aaron Jorbin, Adam Silverstein, Andrea Fercia, Andrew Ozz, bonger, Boone Gorges, Chandra Patel, David Herrera, David Shanske, Dion Hulse, Dominik Schilling (ocean90), DreamOn11, Edwin Cromley, Ella van Dorpe, Gary Pendergast, James Nylen, Jeff Bowen, Jeremy Felt, Jeremy Pry, Joe McGill, John Blackbourn, Keanan Koppenhaver, Konstantin Obenland, laurelfulford, Marin Atanasov, mattyrob, monikarao, Nate Reist, Nick Halsey, Nikhil Chavan, nullvariable, Payton Swick, Peter Wilson, Presskopp, Rachel Baker, Ryan McCue, Sanket Parmar, Sebastian Pisula, sfpt, shazahm1, Stanimir Stoyanov, Steven Word, szaqal21, timph, voldemortensen, vortfu y Weston Ruter.

WordPress 4.6.1 – Actualización de seguridad y mantenimiento

Ya está disponible WordPress 4.6.1. Esta es una actualización de seguridad para todas las versiones anteriores y te animamos encarecidamente a actualizar todos tus sitios de inmediato.

Las versiones de WordPress 4.6 y previas están afectadas por dos problemas de seguridad: una vulnerabilidad XSS (cross-site scripting)  a través de los nombres de archivo de las imágenes, informada por el desarrollador de SumOfPwn Cengiz Han Sahin; y una vulnerabilidad transversal de las rutas en el cargador de paquetes de actualizaciones, informado por Dominik Schilling, del equipo de seguridad de WordPress.

Gracias a todos los que han informado por practicar la difusión responsable.

Además de los anteriores problemas de seguridad, WordPress 4.6.1 soluciona 15 fallos desde la versión 4.6. Para más información revisa las notas de la versión o consulta la lista de cambios.

Descarga WordPress 4.6.1 o ve a tu Dashboard → Actualizaciones y simplemente haz clic en “Actualizar ahora.” Los sitios compatibles con las actualizaciones automáticas en segundo plano ya están empezando a actualizarse a WordPress 4.6.1.

Gracias a todos los que han contribuido a la versión 4.6.1:

Andrew OzzbongerBoone GorgesChaos EngineDaniel Kanchev, Dion Hulse,Drew Jaynes, Felix ArntzFredrik ForsmoGary PendergastgeminorumIan Dunn,Ionut Stanciu, Jeremy Felt, Joe McGillMarius L. J. (Clorith)Pascal BirchlerRobert D PayneSergey Biryukov, y Triet Minh.

WordPress 4.5.3, actualización de mantenimiento y seguridad

Ya está disponible WordPress 4.5.3. Esta es una actualización de seguridad para todas las versiones anteriores, y te animamos encarecidamente a que actualices inmediatamente tus sitios.

Las versión de WordPress 4.5.2 y anteriores están afectadas por varios problemas de seguridad: vulnerabilidad de redirección ele personalizador, de la que informó Yassine Aboukir; dos problemas diferentes de XSS en los nombres de los adjuntos, de los que informaron Jouko Pynnönen y Divyesh Prajapati; revelación de información del historial de revisiones, del que informaron John Blackbourn, del equipo de seguridad de WordPress y Dan Moen; denegación de servicio de oEmbed, del que informó Jennifer Dodd de Automattic; borrado sin autorización de categoría de una entrada, de lo que informó David Herrera de Alley Interactive; cambio de contraseña mediante cookie robada, del que informó Michael Adams del equipo de seguridad de WordPress; y algunos casos menores de seguridad con sanitize_file_name de los que informó Peter Westwood, también del equipo de seguridad de WordPress.

Gracias a todos los que han informado por poner en práctica la revelación responsable.

Además de los problemas de seguridad anteriores, WordPress 4.5.3 soluciona 17 fallos desde las versiones 4.5, 4.5.1 y 4.5.2. Para más información revisa las notas de la versión o consulta la lista de cambios.

Descarga WordPress 4.5.3 o pásate por tu Escritorio → Actualizar y simplemente haz clic en “Actualizar ahora.” Los sitios compatibles con actualizaciones automáticas en segundo plano ya están empezando a actualizarse a WordPress 4.5.3.

Gracias a todos los que han colaborado con la versión 4.5.3:

Boone GorgesSilvan HagenvortfuEric Andrew LewisNikolay Bachiyski,  Michael AdamsJeremy FeltDominik SchillingWeston RuterDion HulseRachel BakerAlex ConchaJennifer M. DoddBrandon KraftGary PendergastElla Iseulde Van DorpeJoe McGillPascal BirchlerSergey BiryukovDavid Herrera y Adam Silverstein.

WordPress 4.5.2, actualización de seguridad

WordPress 4.5.2 ya está disponible. Esta es una actualización de seguridad para todas las versiones anteriores y te recomendamos encarecidamente que actualices tus sitios inmediatamente.

Las versiones de WordPress 4.5.1 y anteriores están afectadas por ALGUNA vulnerabilidad debida a Plupload, la biblioteca externa que usa WordPress para subir archivos. Las versiones de WordPress desde la 4.2 hsta la 4.5.1 son vulnerables a un ataque de XSS reflejo si se utilizan URLs especialmente creadas desde MediaElement.js, la biblioteca externa utilizada para los reproductores de medios. MediaElement.js y Plupload también se han actualizado para solucionar estos problemas.

Ambos problemas los analizó e informaron Mario Heiderich, Masato Kinugawa, y Filedescriptor desde Cure53. Gracias al equipo por practicar la información responsable, y a los equipos de Plupload y MediaElement.js por trabajar conjuntamente con nosotros para coordinarnos y solucionar estos fallos.

Descarga ya WordPress 4.5.2 o pásate por tu Escritorio → Actualizaciones y simplemente haz clic en “Actualizar ahora” Los sitios compatibles con las actualizaciones automáticas en segundo plano ya están empezando a actualizarse a WordPress 4.5.2.

Además de esto, hay varias vulnerabilidades ampliamente publicadas en la biblioteca de procesamiento de imágenes ImageMagick, utilizadas por los alojamientos web y compatibles con WordPress. Para lo que nos afecta a estos problemas revisa esta entrada en el blog de desarrollo del núcleo.