El equipo de desarrollo de WordPress acaba de anunciar que se encuentra disponible la actualización de seguridad y mantenimiento WordPress 5.5.2 que corrige 10 problemas de seguridad y 14 errores.
Los problemas de seguridad que han sido solucionados con esta actualización se producen en la versión 5.5.1 y anteriores. En el caso de que dispongamos de una versión anterior a 5.5, éstos afectan a todas las versiones posteriores a 3.7, por lo que también deberemos actualizar nuestra herramienta. Las vulnerabilidades que ha sido solucionados son:
- Se han endurecido las condiciones por las que se aceptan las peticiones de deserialización.
- Se ha deshabilitado el spam embebido en sitios no activos en una red multisitio.
- Posible ataque Cross-site Scripting (XSS) a través de variables globales.
- Posible escalado de privilegios no autorizado en XML-RPC.
- Posible ataque de denegación de servicio (DoS) que podría ser dirigido contra RCE.
- Corrección de un método que podría almacenar XSS en los slugs de los post.
- Corrección de un método que podría evadir las meta protegidas y realizar borrado de archivos de manera arbitraria.
- Corrección de un método que podría dirigir un ataque de tipo Cross-site request forgery (CSRF).
Dado que se trata de una actualización de seguridad se recomienda aplicarla lo antes posible. En el caso de que tengamos activada las actualizaciones automáticas, ésta se realizará, si no se ha producido ya, sin que tengamos que realizar ninguna acción. En el caso de que tengamos desactivada esta función, para actualizar nuestra instalación de WordPress sólo tendremos que visitar el Dashboard y presionar el botón de actualizar que nos encontraremos en la parta superior de la pantalla.
Gracias al incalculable trabajo realizado por la comunidad WordPress, estas vulnerabilidades han sido detectadas antes de que sean explotadas y se han aplicado las correcciones necesarias. Ahora sólo está en nuestra mano, como administradores de nuestro sitio, aplicar esta actualización para proteger nuestra instalación y a nuestros usuarios. No lo dejes para más tarde.
Podemos encontrar toda la información relativa a esta actualización en la sección de noticias de WordPress.