WordPress corrige múltiples vulnerabilidades

WordPress, el popular sistema de gestión de contenidos (CMS), ha lanzado una actualización crítica de seguridad para abordar tres vulnerabilidades significativas que podrían potencialmente exponer millones de sitios web a ataques cibernéticos.

  • CVE-2024-6307 (CVSS 6.4): Es una vulnerabilidad de Cross-Site Scripting (XSS) en la API HTML. Esta falla podría permitir a los atacantes inyectar scripts maliciosos en las páginas web, lo que podría llevar al robo de datos, desfiguración del sitio web o redirección a sitios perjudiciales.
  • CVE-2024-6305 (CVSS 6.4): Es una vulnerabilidad de Cross-Site Scripting (XSS) en Template Part block. Esta vulnerabilidad también podría habilitar a los atacantes para ejecutar scripts maliciosos, comprometiendo aún más la seguridad del sitio web.
  • CVE-2024-6306 (CVSS 4.3): Es una vulnerabilidad de Path Traversal en sitios alojados en Windows. Esta vulnerabilidad podría permitir a los atacantes acceder a archivos y directorios no autorizados en un servidor web, potencialmente llevando a la divulgación de información sensible o al compromiso del sistema.

Versiones afectadas:

  • Todas las versiones de WordPress anteriores a la 6.5.5.

Solución:

  • WordPress versión 6.5.5 o posteriores.

Los usuarios de WordPress con actualizaciones automáticas habilitadas recibirán la actualización sin requerir interacción por parte del usuario. Para aquellos que actualizan manualmente, el proceso puede realizarse a través del panel de control de WordPress o descargando la última versión directamente desde el sitio web de WordPress.

Recomendaciones:

  • Actualizar a la última versión de WordPress lo antes posible para mitigar los riesgos potenciales.
  • Habilitar las actualizaciones automáticas para futuras versiones de seguridad.
  • Revisar regularmente la configuración de seguridad y los plugins utilizados en su sitio web de WordPress.

Referencias: