Miembros de
Boletines de Vulnerabilidades |
Diversas vulnerabilidades en Wordpress 3.4 |
|
Clasificación de la vulnerabilidad |
|
| Propiedad | Valor |
| Nivel de Confianza | Oficial |
| Impacto | Aumento de privilegios |
| Dificultad | Experto |
| Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
| Propiedad | Valor |
| Fabricante afectado | GNU/Linux |
| Software afectado | Wordpress 3.4 |
Descripción |
|
|
Wordpress ha publicado la versión 3.4.2., una actualización para corregir diversas vulnerabilidades en versiones anteriores a ésta. Una de las vulnerabilidades consiste en una elevación de privilegios, que permite tanto a administradores como editores en instalaciones multi-site , usar 'unfiltered_html', que puede ser explotado para realizar ataques XSS (cross-site scripting), como puede ser la publicación de artículos con código malicioso. Otra de las vulnerabilidades corregidas era una vulnerabilidad de fuga de información, que permitiría a algunos usuarios a sobrepasar ciertas restricciones de seguridad para ver artículos para los que no tenga permiso o acceso. |
|
Solución |
|
|
Wordpress ha publicado la versión 3.4.2, con la que el usuario podrá corregir las vulnerabilidades descritas. Para descargar la nueva versión pueden acceder al siguiente enlace: http://wordpress.org/download/ |
|
Identificadores estándar |
|
| Propiedad | Valor |
| CVE | |
| BID | |
Recursos adicionales |
|
|
Wordpress.org http://wordpress.org/news/2012/09/wordpress-3-4-2/ |
|
Histórico de versiones |
||
| Versión | Comentario | Fecha |
| 1.0 | Aviso emitido | 2012-09-10 |