La actualización de seguridad de WordPress 5.8.3 corrige la inyección SQL y fallas XSS

El equipo de desarrollo de WordPress lanzó la versión 5.8.3, una versión de seguridad de ciclo corto que aborda cuatro vulnerabilidades, tres de las cuales se consideran de gran importancia.

El conjunto incluye una inyección de SQL en WP_Query, una inyección de SQL ciega a través de WP_Meta_Query, un ataque XSS a través de los slugs posteriores y una inyección de objetos de administración.

Todos los problemas tienen requisitos previos para su explotación, y la mayoría de los sitios de WordPress que usan la configuración predeterminada de actualizaciones automáticas del núcleo no están en peligro.

Sin embargo, los sitios que usan WordPress 5.8.2 o anterior, con sistemas de archivos de solo lectura que han deshabilitado las actualizaciones automáticas del núcleo en wp-config.php, podrían ser vulnerables a ataques basados ​​en las fallas identificadas.

Los cuatro problemas solucionados con la última actualización de seguridad son los siguientes:

  1. CVE-2022-21661: Inyección SQL de gravedad alta (puntaje CVSS 8.0) a través de WP_Query. Esta falla se puede explotar a través de complementos y temas que usan WP-Query. Las correcciones cubren las versiones de WordPress hasta la 3.7.37.
  2. CVE-2022-21662: Vulnerabilidad XSS de gravedad alta (puntaje CVSS 8.0) que permite a los autores (usuarios con privilegios más bajos) agregar una puerta trasera maliciosa o hacerse cargo de un sitio abusando de los slugs de publicación. Las correcciones cubren las versiones de WordPress hasta la 3.7.37.
  3. CVE-2022-21664: Inyección SQL de gravedad alta (puntaje CVSS 7.4) a través de la clase principal WP_Meta_Query. Las correcciones cubren las versiones de WordPress hasta la 4.1.34.
  4. CVE-2022-21663: Problema de inyección de objetos de gravedad media (puntaje CVSS 6.6) que solo puede explotarse si un actor de amenazas ha comprometido la cuenta de administrador. Las correcciones cubren las versiones de WordPress hasta la 3.7.37.

No ha habido informes de que lo anterior esté bajo explotación activa en la naturaleza, y no se cree que ninguno de estos defectos tenga un impacto potencial grave en la mayoría de los sitios de WordPress.

No obstante, se recomienda que todos los propietarios de sitios de WordPress actualicen a la versión 5.8.3, revisen la configuración de su firewall y se aseguren de que las actualizaciones principales de WP estén activadas.

Esta configuración se puede ver en el parámetro ‘define’ en wp-config.php, que debería ser «define(‘WP_AUTO_UPDATE_CORE’, true );»

Las actualizaciones automáticas del núcleo se introdujeron en 2013 en WordPress 3.7 y, según las estadísticas oficiales, solo el 0,7% de todos los sitios de WP actualmente ejecutan una versión anterior a esa.

Noticia vía BleepingComputer.