WordPress ha lanzado una actualización con correcciones de errores y parches de seguridad para abordar tres vulnerabilidades calificadas de severas a moderadas.
Es posible que las actualizaciones se hayan descargado e instalado automáticamente, por lo que es importante verificar que el sitio net se haya actualizado a 6.02 y que todo siga funcionando con normalidad.
Solución de problemas
La actualización contiene doce correcciones para el núcleo de WordPress y cinco para el editor de bloques.
Un cambio notable es una mejora en el directorio de plantillas, diseñado para ayudar a los autores de temas a proporcionar solo las plantillas relacionadas con sus temas.
El objetivo de este cambio es hacerlo más atractivo para los autores de temas y brindar una mejor experiencia de usuario a los editores.
«Muchos autores de temas quieren deshabilitar todos los patrones centrales y remotos de forma predeterminada con remove_theme_support(‘core-block-patterns’). Esto asegura que solo ofrezcan a los clientes/clientes muestras que sean relevantes para su tema.
Este cambio hará que el directorio de patrones sea más atractivo/fácil de usar desde la perspectiva del autor del tema”.
Tres parches de seguridad
La primera vulnerabilidad se describe como una vulnerabilidad de inyección SQL de alta gravedad.
Una vulnerabilidad de inyección SQL permite a un atacante consultar la base de datos subyacente del sitio net y agregar, ver, eliminar o modificar datos confidenciales.
Según un informe de Wordfence, WordPress 6.02 corrige una vulnerabilidad de inyección SQL de alta gravedad, pero la vulnerabilidad requiere privilegios de administrador para ejecutarse.
Wordfence describió esta vulnerabilidad:
“La función de enlaces de WordPress, anteriormente conocida como “marcadores”, ya no está habilitada de forma predeterminada en las nuevas instalaciones de WordPress.
Es posible que los sitios más antiguos aún tengan la funcionalidad habilitada, lo que significa que millones de sitios más antiguos son potencialmente vulnerables, incluso si ejecutan versiones más nuevas de WordPress.
Afortunadamente, descubrimos que la vulnerabilidad requiere privilegios de administrador y es difícil de explotar en una configuración predeterminada».
Las vulnerabilidades segunda y tercera se describen como secuencias de comandos entre sitios almacenadas, una de las cuales se cube que no afecta a la «gran» mayoría de los editores de WordPress.
Biblioteca de fechas de JavaScript actualizada actualmente
Se ha solucionado otra vulnerabilidad, pero no formaba parte del núcleo de WordPress. Esta vulnerabilidad afecta a una biblioteca de datos de JavaScript utilizada por WordPress llamada Second.
A la vulnerabilidad en la biblioteca de JavaScript se le ha asignado un número CVE y los detalles están disponibles en la base de datos nacional de vulnerabilidades del gobierno de EE. UU. Está documentado como una corrección de errores en WordPress.
qué hacer
La actualización debería implementarse automáticamente en los sitios net a partir de la versión 3.7.
Puede ser útil verificar que el sitio funcione correctamente y que no haya conflictos con el tema precise y los complementos instalados.
cotizaciones
Versión de seguridad y mantenimiento de WordPress Core 6.0.2: lo que necesita saber
Permita el registro de patrones remotos en theme.json cuando los patrones principales estén deshabilitados.
Imagen destacada de Shutterstock/Krakenimages.com