WordPress 3.5.2 versión de seguridad y mantenimiento. ¡Actualiza!
El equipo de WordPress ha publicado una nueva versión del script, ahora la 3.5.2, que incluye algunos parches de seguridad y da solución así a algunos bugs identificados. El anuncio de liberación de la versión indica los siguientes cambios de seguridad:
- Bloqueo de ataque de solicitudes falsas del lado de servidor, que potencialmente podría permitir al atacante obtener acceso al sitio.
- Rechazar la publicación no apropiada de entradas o posts, reportado por Konstantin Kovshenin, o reasignar al autor de una entrada, reportado por Luke Bryan.
- Actualización de la librería externa SWFUpload para solucionar vulnerabilidades de cross-site scripting. Reportado por mala y Szymon Gruszecki.
- Prevención de ataque de negación de servicio, que afecta a los sitios con entradas protegidas con password.
- Actualización a una librería externa de TinyMCE para solucionar una vulnerabilidad cross-site scripting. Reportado por Wan Ikram.
- Múltiples parches para cross-site scripting. Reportado por Andrea Santese y Rodrigo.
- Evade la divulgación de ruta completa de archivo cuando falla la subida del mismo. Reportado por Jakub Galczyk.
Una de los puntos más importantes de esta versión a la par de la divulgación de las vulnerabilidades de la librería externa SWFUpload en general es el anuncio de un SWFUpload seguro elaborado por el mismo equipo de WordPress.
El equipo de seguridad de WordPress oficialmente ha retomado el largamente abandonado proyecto SWFUpload y recomienda a todos los desarrolladores que usen el SWFUpload que actualicen su versión.
El equipo de WordPress indicó que no aprueba el uso de abandonware. Manifestó que desean hacer de la web un mejor lugar por medio de asegurarse que los desarrolladores tienen acceso a una versión segura de SWFUpload.
Igualmente recomiendan reportar cualquier vulnerabilidad que se encuentre en esa nueva versión de SWFUpload.
Nuestra recomendación igualmente es que actualices tan pronto como puedas, no tiene nada de atractivo ni seguro el utilizar versiones anteriores de cualquier software.