ClickCease Actualización de ejecución de código: mejora de la seguridad de WordPress

Tabla de contenidos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Actualización de ejecución de código: mejora de la seguridad de WordPress

Wajahat Raja

18 de diciembre de 2023 - Equipo de expertos TuxCare

En el siempre cambiante panorama de la seguridad digital, WordPress ha publicado recientemente una actualización crítica de actualización de ejecución de códigoque aborda una amenaza potencial que podría poner en peligro la integridad de los sitios vulnerables. Esta actualización, desencadenada por el descubrimiento de una vulnerabilidad de ejecución remota de códigono sólo aporta correcciones de errores, sino también un parche de seguridad crucial para parche de seguridad de WordPress destinado a fortalecer su experiencia con WordPress.

 

Desvelar la vulnerabilidad


La génesis de esta
actualización de WordPress se remonta a una característica bienintencionada introducida en WordPress 6.4. Diseñada para mejorar el análisis de HTML en el editor de bloques, esta función abrió inadvertidamente la puerta a una vulnerabilidad que podría ser explotada por actores de amenazas.


Alcance del impacto


Es importante señalar que esta vulnerabilidad afecta exclusivamente a las versiones 6.4 y 6.4.1 de WordPress. Las versiones anteriores no se ven afectadas, pero si su sitio web se encuentra dentro de este rango, es imperativo tomar medidas rápidas.


La urgencia de actualizar la ejecución de código


Según el
aviso de seguridad de WordPressWordPress 6.4.2, una versión menor pero fundamental, no sólo aporta siete correcciones de errores, sino que también soluciona el fallo de seguridad crítico. La urgencia de actualizar viene subrayada por la recomendación del propio WordPress. Al tratarse de un parche de vulnerabilidad de WordPressse aconseja actuar con rapidez para fortalecer el sitio frente a posibles amenazas.


Proceso de actualización de la ejecución de código


Actualizar su sitio de WordPress a la última versión es un proceso sencillo. Puede descargar
versión 6.4.2 directamente desde WordPress.org. Como alternativa, en el panel de control de WordPress, vaya a "Actualizaciones y haga clic en "Actualizar ahora". Para los sitios que admiten actualizaciones automáticas en segundo plano, la actualización de seguridad crítica para WordPress se iniciará automáticamente.


Detrás del fallo


Profundizando en los tecnicismos, la vulnerabilidad proviene de la clase WP_HTML_Token introducida en la versión 6.4. Pensada para mejorar el análisis de HTML en el editor de bloques, esta clase se convirtió inadvertidamente en el punto focal del fallo identificado. La empresa de seguridad de WordPress Wordfence señala que, aunque esta vulnerabilidad no es directamente explotable en el núcleo, su gravedad aumenta cuando se combina con determinados plugins, especialmente en instalaciones multisitio.


Explotación potencial


Los actores de amenazas, armados con la capacidad de explotar una vulnerabilidad de inyección de objetos PHP presente en otros plugins o temas, pueden potencialmente encadenar los dos problemas. Esto podría llevar a la ejecución de código PHP arbitrario, otorgando control no autorizado sobre el sitio objetivo.


Advertencias de los expertos en seguridad


Los avisos de seguridad de Wordfence y Patchstack destacan la gravedad de la situación. Una cadena de Programación Orientada a Propiedades (POP), si está presente a través de plugins o temas adicionales, podría permitir a los atacantes borrar archivos, acceder a datos sensibles o ejecutar código malicioso. Desde el 17 de noviembre, una
cadena de explotación está disponible en GitHub y se ha incorporado al proyecto PHP Generic Gadget Chains (PHPGGC), según informa Patchstack.


Prevención de la vulnerabilidad de sitios web


Se recomienda precaución a los desarrolladores, especialmente a aquellos cuyos proyectos impliquen llamadas a la función unserialize. Considere cambiar esta función por otras alternativas, como la codificación/decodificación JSON utilizando las funciones PHP json_encode y json_decode. Esta medida proactiva ayuda a mitigar el riesgo asociado a posibles vulnerabilidades.


Actualizaciones de seguridad


WordPress 6.4.2 soluciona específicamente el problema de
ejecución remota de código. Aunque no es directamente explotable en el núcleo, el equipo de seguridad hace hincapié en el potencial de alta gravedad cuando se combina con ciertos plugins, particularmente en instalaciones multisitio. Este enfoque estratégico en actualización de seguridad de sitios web refuerza el compromiso de WordPress de crear un entorno digital robusto y seguro para los usuarios de todo el mundo.


Conclusión


En un entorno digital en el que las amenazas evolucionan constantemente, WordPress se mantiene alerta para proteger a sus usuarios. La rápida respuesta a la vulnerabilidad detectada mediante la publicación del
parche de ciberseguridad para WordPress refleja un compromiso con las medidas de seguridad proactivas. Como usuarios, mantenerse informados y actualizar rápidamente su sitio de WordPress garantiza una defensa resistente contra posibles amenazas. defensa contra posibles amenazas. Contribuyamos colectivamente a un ecosistema en línea seguro adoptando estas buenas prácticas de seguridad de WordPress y reforzando las barreras contra las ciberamenazas.

Las fuentes de este artículo incluyen artículos en The Hacker News y WordPress.

Resumen
Actualización de ejecución de código: mejora de la seguridad de WordPress
Nombre del artículo
Actualización de ejecución de código: mejora de la seguridad de WordPress
Descripción
Manténgase seguro con la actualización de ejecución de código de WordPress 6.4.2, que protege su sitio de vulnerabilidades de ejecución de código.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín