﻿{"id":284,"date":"2018-06-28T10:38:33","date_gmt":"2018-06-28T15:38:33","guid":{"rendered":"https:\/\/www.uv.mx\/csirt\/?p=284"},"modified":"2018-06-28T10:55:35","modified_gmt":"2018-06-28T15:55:35","slug":"vulnerabilidad-en-wordpress","status":"publish","type":"post","link":"https:\/\/www.uv.mx\/csirt\/boletines\/vulnerabilidad-en-wordpress\/","title":{"rendered":"Vulnerabilidad en WordPress"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-289\" src=\"https:\/\/www.uv.mx\/csirt\/files\/2018\/06\/beletin-vulnerabilidadword2-300x103.jpg\" alt=\"\" width=\"600\" height=\"206\" srcset=\"https:\/\/www.uv.mx\/csirt\/files\/2018\/06\/beletin-vulnerabilidadword2-300x103.jpg 300w, https:\/\/www.uv.mx\/csirt\/files\/2018\/06\/beletin-vulnerabilidadword2-768x264.jpg 768w, https:\/\/www.uv.mx\/csirt\/files\/2018\/06\/beletin-vulnerabilidadword2.jpg 930w\" sizes=\"auto, (max-width: 600px) 100vw, 600px\" \/><\/p>\n<p>&nbsp;<\/p>\n<p>27\/06\/2018<\/p>\n<p><strong>Bolet\u00edn de ciberseguridad<\/strong><\/p>\n<p>Nivel:\u00a0Importante<\/p>\n<p>&nbsp;<\/p>\n<p><strong>Vulnerabilidad en WordPress<\/strong><\/p>\n<p><strong>\u00a0<\/strong><\/p>\n<p><strong>Descripci\u00f3n:<\/strong><\/p>\n<p>&nbsp;<\/p>\n<p>Descubierta por <em>investigadores de RIPS Technologies GmbH<\/em>, la vulnerabilidad \u00abauthenticated arbitrary file deletion\u00bb (eliminaci\u00f3n arbitraria de archivos autenticados) <em>fue reportada<\/em> hace 7 meses al <em>equipo de seguridad de WordPress<\/em>, pero permanece sin parchear y afecta a todas las versiones de WordPress, incluyendo la 4.9.6 actual.<\/p>\n<p>&nbsp;<\/p>\n<p>La vulnerabilidad reside en una de las funciones centrales de WordPress que se ejecuta en segundo plano cuando un usuario elimina permanentemente la miniatura de una imagen cargada.<\/p>\n<p>&nbsp;<\/p>\n<p>Los investigadores encuentran que la funci\u00f3n de eliminaci\u00f3n de miniaturas acepta entradas de usuario no saneadas, que si se suavizan, podr\u00edan permitir a los usuarios con privilegios limitados de al menos un autor eliminar cualquier archivo del alojamiento web, que de otra manera s\u00f3lo deber\u00eda permitirse a los administradores de servidores o sitios.<\/p>\n<p>&nbsp;<\/p>\n<p><strong>Recursos afectados:<\/strong><\/p>\n<p><strong>\u00a0<\/strong><\/p>\n<ul>\n<li>Rama 4.8; 4.7; 4.6;\u00a04.5;\u00a04.4; 4.3; 4.2; 4.1; 4.0; 3.9;\u00a03.8; 3.7<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<p><strong>Soluci\u00f3n:<\/strong><\/p>\n<p>&nbsp;<\/p>\n<p>La vulnerabilidad descrita permanece sin parchear en el n\u00facleo de WordPress. El equipo de investigadores que encontraron esta vulnerabilidad\u00a0han desarrollado una soluci\u00f3n temporal hasta\u00a0que el equipo de seguridad de WordPress parchee esta vulnerabilidad en la pr\u00f3xima versi\u00f3n de su software.\u00a0El arreglo puede ser integrado en una instalaci\u00f3n existente de WordPress agreg\u00e1ndolo al archivo\u00a0<em>functions.php<\/em>\u00a0del tema activo <em>theme\/child-theme.<\/em><\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<p><a href=\"https:\/\/blog.ripstech.com\/2018\/wordpress-file-delete-to-code-execution\/\">https:\/\/blog.ripstech.com\/2018\/wordpress-file-delete-to-code-execution\/<\/a><\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<p>Ante cualquier duda o aclaraci\u00f3n comun\u00edcate con el CSIRTUV a las extensiones 11505, 11532 y 11564 o al correo contactocsirt@uv.mx<\/p>\n","protected":false},"excerpt":{"rendered":"<p>&nbsp; 27\/06\/2018 Bolet\u00edn de ciberseguridad Nivel:\u00a0Importante &nbsp; Vulnerabilidad en WordPress \u00a0 Descripci\u00f3n: &nbsp; Descubierta por investigadores de RIPS Technologies GmbH, la vulnerabilidad \u00abauthenticated arbitrary file deletion\u00bb (eliminaci\u00f3n arbitraria de archivos autenticados) fue reportada hace 7 meses al equipo de seguridad de WordPress, pero permanece sin parchear y afecta a todas las versiones de WordPress, incluyendo [&hellip;]<\/p>\n","protected":false},"author":2037,"featured_media":289,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"ventana_nueva":"","tipo_url":"","url":"","extracto":"","imagen_halign":"","imagen_valign":"","bg_size":"","text_hide":"","media_url":"","tipo_media":"","video_url":"","video_pos":"","video_youtube":"","footnotes":""},"categories":[2],"tags":[],"class_list":["post-284","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-boletines"],"_links":{"self":[{"href":"https:\/\/www.uv.mx\/csirt\/wp-json\/wp\/v2\/posts\/284","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.uv.mx\/csirt\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.uv.mx\/csirt\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.uv.mx\/csirt\/wp-json\/wp\/v2\/users\/2037"}],"replies":[{"embeddable":true,"href":"https:\/\/www.uv.mx\/csirt\/wp-json\/wp\/v2\/comments?post=284"}],"version-history":[{"count":0,"href":"https:\/\/www.uv.mx\/csirt\/wp-json\/wp\/v2\/posts\/284\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.uv.mx\/csirt\/wp-json\/wp\/v2\/media\/289"}],"wp:attachment":[{"href":"https:\/\/www.uv.mx\/csirt\/wp-json\/wp\/v2\/media?parent=284"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.uv.mx\/csirt\/wp-json\/wp\/v2\/categories?post=284"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.uv.mx\/csirt\/wp-json\/wp\/v2\/tags?post=284"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}