Skip to content

Tag: XSS

Nueva vulnerabilidad de Timthumb. ¿Preocupante?

Se ha descubierto una nueva vulnerabilidad en el, tristemente conocido, script para generar miniaturas Timthumb. Que por cierto, también afecta a WordThumb, que es el script original que luego se terminó convirtiendo en Timthumb. Y aunque no está tan extendido, se puede encontrar también en algunos themes.

¿Deberías preocuparte?

Si bien se trata de una vulnerabilidad importante, ya que permite la ejecución de un script alojado en un sitio externo (ataque XSS), pero sólo es posible si tienes la función WebShot activada. Y esta viene desactivada de manera predeterminada, es decir, salvo que la hayas activado a propósito no eres vulnerable a este ataque aunque uses Timthumb en tu web.

WordPress 3.8.2, importante actualización de seguridad

Se ha publicado WordPress 3.8.2. Una importante actualización de seguridad que corrige fallos de este tipo que afectan a todas las versiones anteriores de WordPress.

Por tanto se recomienda encarecidamente actualizar inmediatamente a WordPress 3.8.2.

El imperio ataca a WordPress
Foto por Kristina Alexanderson

La corrección principal elimina una vulnerabilidad mediante la cual un atacante se puede abrir paso para acceder a tu web mediante la creación de cookies de autenticación.

Logo WordPressLogo WordPressLogo WordPressAdemás también se corrige otro fallo que permitía a un usuario con el rol “Colaborador” publicar entradas (sin autorización previa, algo que no le está permitido a este rol).

WordPress 3.5.1

Como era de esperar, después de escaso mes y medio del lanzamiento de WordPress 3.5 tenemos ya listo para instalar WordPress 3.5.1, que como es habitual incluye pequeñas correcciones a su predecesor, y además en este caso se solucionan algunas vulnerabilidades que afectan a todas las versiones anteriores de WordPress.

Logo WordPressEn cuanto a las pequeñas correcciones, se tratan de 37 tickets resueltos. Como evitar que el editor TinyMCE elimine etiquetas HTML de enlace en determinados casos, o que al publicarse un post programado se elimine código de contenidos incrustados en el post (como un vídeo de Youtube, por ejemplo).

También un fallo que impedía la actualización directa a WordPress 3.5 desde la versión 2.7. Y en general la mayoría son correcciones menores relacionadas directa o indirectamente con la nueva galería multimedia incorporada en la versión 3.5 de WordPress.