WordPress ha lanzado otra actualización, dos semanas después de haber arreglado una vulnerabilidad XSS con la versión 4.2.3. En un anuncio oficial, instó a todos los usuarios a que actualicen su sitio web a la versión 4.2.4 de manera inmediata.
WordPress explicó que su último lanzamiento de seguridad se ocupa de 6 inconvenientes que han surgido desde la última acualización, incluyendo "tres vulnerabilidades cross-site scripting y una potencial SQL injection que podría ser utilizada para comprometer un sitio."
La actualización también incluye la solución para un posible ataque del tipo "timing side-channel" (basado en la información ganada desde la implementación física de un sistema criptográfico), que fue descubierto por Johannes Schmitt de Scrutinizer. Adicionalmente, WordPress 4.2.4 le ofrece protección a los usuarios frente a los intentos de los atacantes de bloquear la edición de un post.
Además, también presenta arreglos para cuatro bugs que fueron encontrados en la versión previa. Tal como se documenta en las notas de lanzamiento de Wordpress, se incluyen
FIX – WPDB: al revisar la codificación de strings contra la base de datos, se asegura que solo dependa del valor de las strings que fueron enviadas a la base de datos. #32279
FIX – No confía ciegamente que el outpost de glob() sea un array #33093
FIX – Shortcodes: maneja casos de do_shortcode(‘<[shortcode]’). #33116
FIX – Shortcodes: Protege líneas nuevas dentro de CDATA. #33106
Los usuarios de WordPress pueden descargar la última versión al visitar el sitio web o a través de su dashboard. Se agregó además que los sitios web que soportan actualizaciones automáticas, se estarán migrando a la versión 4.2.4.
Tal como ya se ha dicho, nunca descarguen o instalen WordPress desde ningún otro sitio que no sea el oficial, ya que es el único medio por el cual se lanzan las actualizaciones.
