WordPress, el popular sistema de gestión de contenidos (CMS), ha lanzado una actualización crítica de seguridad para abordar tres vulnerabilidades significativas que podrían potencialmente exponer millones de sitios web a ataques cibernéticos.
- CVE-2024-6307 (CVSS 6.4): Es una vulnerabilidad de Cross-Site Scripting (XSS) en la API HTML. Esta falla podría permitir a los atacantes inyectar scripts maliciosos en las páginas web, lo que podría llevar al robo de datos, desfiguración del sitio web o redirección a sitios perjudiciales.
- CVE-2024-6305 (CVSS 6.4): Es una vulnerabilidad de Cross-Site Scripting (XSS) en Template Part block. Esta vulnerabilidad también podría habilitar a los atacantes para ejecutar scripts maliciosos, comprometiendo aún más la seguridad del sitio web.
- CVE-2024-6306 (CVSS 4.3): Es una vulnerabilidad de Path Traversal en sitios alojados en Windows. Esta vulnerabilidad podría permitir a los atacantes acceder a archivos y directorios no autorizados en un servidor web, potencialmente llevando a la divulgación de información sensible o al compromiso del sistema.
Versiones afectadas:
- Todas las versiones de WordPress anteriores a la 6.5.5.
Solución:
- WordPress versión 6.5.5 o posteriores.
Los usuarios de WordPress con actualizaciones automáticas habilitadas recibirán la actualización sin requerir interacción por parte del usuario. Para aquellos que actualizan manualmente, el proceso puede realizarse a través del panel de control de WordPress o descargando la última versión directamente desde el sitio web de WordPress.
Recomendaciones:
- Actualizar a la última versión de WordPress lo antes posible para mitigar los riesgos potenciales.
- Habilitar las actualizaciones automáticas para futuras versiones de seguridad.
- Revisar regularmente la configuración de seguridad y los plugins utilizados en su sitio web de WordPress.
Referencias: