WordPress lanza la versión 5.2.3 con correcciones para ocho problemas de seguridad

La nueva versión de WordPress 5.2.3, que ahora está disponible para el público, realiza 29 correcciones en total. La recomendación es mantenerlo actualizado.

Repara ocho vulnerabilidades; siete de las cuales corresponden a Cross Site Scripting (XSS), y uno para abrir la redirección.

La actualización es una versión de mantenimiento de ciclo corto y la próxima versión principal (versión 5.3) se lanzará pronto.

La versión de WordPress 5.2.3 menciona un total de 29 correcciones de errores que afectan a las versiones de WordPress 5.2.2 y anteriores. Sin embargo, lo más destacado del lanzamiento gira en torno a las ocho actualizaciones de seguridad, especialmente las vulnerabilidades de scripting entre sitios (XSS).

La secuencia de comandos entre sitios es un ataque de inyección de código del lado del cliente en el que se infunde una secuencia de comandos maliciosa, y se ejecuta en una página web o aplicación legítima. El script puede obtener acceso a cualquier cookie, tokens de sesión u otra información confidencial del navegador.

A continuación se muestra la lista de siete fallas de secuencias de comandos entre sitios que se corrigieron en la nueva versión:

·Secuencias de comandos en sitios cruzados en vistas previas de publicaciones de colaboradores.
·Secuencias de comandos entre sitios en comentarios almacenados.
·Secuencias de comandos entre sitios reflejadas durante la carga de medios
XSS en vistas previas de shortcode.
·Secuencias de comandos entre sitios reflejadas que se encuentran en el panel de WordPress.
·Ataques de scripting entre sitios de desinfección de URL
·Vulnerabilidad de secuencias de comandos entre sitios en jQuery.extend (corregido en jQuery 3.4.0.)

La octava falla de seguridad surge debido a la validación y desinfección incorrecta de una URL, lo que lleva a una vulnerabilidad de redireccionamiento abierto.

La falla permite que un usuario externo cree URL y redirija a los usuarios a la página de destino que desee. Es una de las tácticas más utilizadas por los atacantes en sus campañas de phishing.

Se recomiendo mantener WordPress actualizado.