IMPORTANTE: Notificacion de Seguridad - WordPress 3.6.1

29 Sep 2013

RESUMEN

Tres incidentes de seguridad han sido reportados para WordPress 3.6 y WordPress ha realizado una nueva versión para corregir dichas vulnerabilidades.
Si usted ha instalado WordPress usando el instalador Softaculous de cPanel ya tiene disponible la versión 3.6.1 el cual corrige dichas vulnerabilidades.
En caso que haya hecho una instalación manual de WordPress, por favor proceda con los pasos descriptos en la documentación de WordPress par actualizar su versión.

Cualquier versión anterior a 3.6.1 que tenga instalado en su cuenta de alojamiento web, implica que está corriendo una versión totalmente vulnerable y es solamente cuestión de tiempo para que su sitio con WordPress sea hackeada.


VERSIONES AFECTADAS
Todas la versiones anteriores a WordPress 3.6.0.


GRADO DE SEVERIDAD
US-CERT/NIST ha dado la siguiente graduación de severidad para las vulnerabilidades de WordPress:

CVE-2013-4338
CVSS v2 Puntuación de Base: 7.5 (ALTA)

CVE-2013-4339
CVSS v2 Puntuación de Base: 7.5 (ALTA)

CVE-2013-4339
CVSS v2 Puntuación de Base: 3.5 (BAJA)


SOLUCION
WordPress como así también Softaculous han puesto a disposición la versión 3.6.1, el cual corrige las vulnerabilidades y se recomienda una inmediata actualización a dicha versión.


REFERENCIAS

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-4338

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4338

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-4339

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4339

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-4340

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4340

http://wordpress.org/news/2013/09/wordpress-3-6-1/