Como viene siendo habitual en las últimas semanas, el ritmo de actualizaciones del core/nucleo de WordPress está cogiendo velocidad (¿preparándonos para la revolución que será WP 5.0?). En este caso, nueva versión, la 4.8.2, corrige fallos de seguridad importantes, presentes en las versiones anteriores, por lo que es urgente actualizar vuestro WP a esta última versión. En la nota oficial en castellano nos explican los bugs de seguridad corregidos:
Las versiones de WordPress 4.8.1 y anteriores están afectadas por estos problemas de seguridad:
$wpdb->prepare()
puede crear peticiones inseguras e inesperadas que lleven a una inyección SQL (SQLi). El núcleo de WordPress no es directamente vulnerable a este problema pero hemos añadido un refuerzo para evitar que plugins y temas provoquen accidentalmente una vulnerabilidad. Informado por Slavco- Se ha descubierto una vulnerabilidad de cross-site scripting (XSS) en oEmbed discovery. Informado por xknown del equipo de seguridad de WordPress.
- Se ha descubierto una vulnerabilidad cross-site scripting (XSS) en el editor visual. Informado por Rodolfo Assis (@brutelogic) de Sucuri Security.
- Se ha descubierto una vulnerabilidad de ruta transversal en el código de descompresión de archivos. Informado por Alex Chapman (noxrnet).
- Se ha descubierto una vulnerabilidad cross-site scripting (XSS) en el editor de plugins. Informado por 陈瑞琦 (Chen Ruiqi).
- Se ha descubierto una redirección abierta en las pantallas de edición de usuarios y términos. Informado por Yasin Soliman (ysx).
- Se ha descubierto una vulnerabilidad de ruta transversal en el personalizador. Informado por Weston Ruter del equipo de seguridad de WordPress.
- Se ha descubierto una vulnerabilidad cross-site scripting (XSS) en los nombres de plantilla. Informado por Luka (sikic).
- Se ha descubierto una vulnerabilidad cross-site scripting (XSS) en la ventana emergente de añadir enlaces. Informado por Anas Roubi (qasuar).
Podéis consultar la lista completa de cambios y actualizaciones en las notas de la versión.