WordPress 5.7.1 parchea el defecto XXE en PHP 8

WordPress ha lanzado la versión 5.7.1 de su popular sistema de gestión de contenido (CMS), que ofrece más de 25 correcciones de errores, incluidos parches para dos vulnerabilidades de seguridad.

Una de las fallas de seguridad parcheadas es una vulnerabilidad de entidad externa XML (XXE) en la biblioteca ID3 en PHP 8, que es utilizada por WordPress. Rastreada como CVE-2021-29447 , la vulnerabilidad se considera de alta gravedad.

Diseñada para analizar etiquetas ID3 de archivos de audio MP3, la biblioteca no deshabilitó explícitamente las entidades XML en PHP 8, lo que hizo que WordPress 5.7 y versiones anteriores fueran vulnerables a los ataques XXE a través de la carga de archivos MP3.

El problema se introdujo en agosto de 2020 y cualquier usuario que tenga la capacidad de cargar archivos podría aprovecharlo. Solo las implementaciones de WordPress que usan PHP 8 (0.3%) se ven afectadas, por lo que la gran mayoría de los sitios web están a salvo de los intentos de explotación de esta vulnerabilidad.

El error fue informado por el proveedor de calidad y seguridad de código SonarSource, que el año pasado adquirió la empresa de pruebas de seguridad de código RIPS Technologies, que también se especializa en pruebas de código PHP.

Afectando a la API REST, la segunda vulnerabilidad podría explotarse para acceder a datos confidenciales. Registrado como CVE-2021-29450 e informado por Mikael Korpela, el error de seguridad se considera de gravedad media.

El problema, explica WordPress , existe en un bloque en el editor de WordPress, que los atacantes podrían aprovechar para exponer publicaciones y páginas protegidas con contraseña. La explotación exitosa de la falla requiere que el atacante tenga al menos privilegios de colaborador.

Para mejorar aún más la seguridad de WordPress, sus desarrolladores están considerando tratar el aprendizaje federado de cohortes (FLoC) de Google como una amenaza a la seguridad y bloquearlo automáticamente en los sitios web.

Pensado como un reemplazo de las cookies de terceros, FLoC trae a la mezcla publicidad basada en intereses, donde los usuarios se colocan en grandes grupos según sus intereses, brindando así a las empresas nuevas formas de orientarlos con sus anuncios.

Si bien FLoC es más privado que las cookies, tiene sus propias implicaciones de privacidad, incluido el hecho de que se realiza un seguimiento de los usuarios y que los datos sobre sus hábitos de navegación se comparten con terceros. WordPress está impulsando casi la mitad de los sitios web que existen, y sus desarrolladores están considerando FLoC como una posible preocupación de seguridad cuando se trata de la privacidad de los usuarios.

WordPress, sin embargo, no es la única entidad de Internet que ve a FLoC como una amenaza potencial a la privacidad. Si bien Google incluye la función en Chrome, otros proveedores de navegadores no la han adoptado .

En un aviso, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) advirtió que las vulnerabilidades abordadas en WordPress 5.7.1 afectan las versiones 4.7 a 5.7 y que los atacantes capaces de explotar con éxito una de estas podrían tomar el control de un sitio web afectado.