Vulnerabilidades WordPress: Core XSS y 4 Plugins comprometidos

Vulnerabilidades WordPress: Core XSS y 4 Plugins comprometidos

Durante enero WordPress tuvo una actualización de seguridad que atiende una vulnerabilidad de cross site scripting ó vulnerabilidad XSS. La versión que soluciona esa vulnerabilidad en particular es el WordPress 4.4.1. Si no has actualizado aún, hazlo cuanto antes.

Los siguientes plugins también tuvieron actualización. Si usas alguno de ellos, actualiza cuanto antes para tu tranquilidad y la integridad de tu sitio.

El plugin Commentator versión 2.5.2 y cualquier versión anterior padece de una vulnerabilidad XSS. El problema está solucionado en la versión 2.5.3.

El plugin WordPress Download Manager 2.8.7 y cualquier versión anterior sufre de múltiples vulnerabilidades, incluyendo el privilegio de escalamiento, listado de directorio y descarga no autorizada de archivos. Los problemas fueron solucionados con la versión 2.8.8.

El plugin Simple Download Monitor 3.2.8 sufre de vulnerabilidades que permiten a los usuarios listar los archivos subidos, eliminar miniaturas de los archivos y descargar archivos protegidos con password sin colocar el password. La versión 3.2.9 soluciona estos problemas.

El plugin Simple Ads Manager 2.9.4.116 contiene una vulnerabilidad  de inyección SQL que permite a un atacante tener acceso al password del administrador y otra información sensible en la base de datos. La versión 2.9.4.118 soluciona el problema.

Esto significa que, si tienes alguno de estos plugins y no has actualizado, lo mejor es que lo hagas lo antes posible y tengas un sitio más seguro para ti y tus visitantes.