Global Preloader
Vulnerabilidad
(01/Nov/2017) Wordpress publicó segundo parche para vulnerabilidad SQL Injection

Wordpress publicó segundo parche para vulnerabilidad SQL Injection

Una vulnerabilidad en WordPress 4.8.2 y anteriores crea condiciones inesperadas e inseguras para un ataque de inyección SQL, exponiendo los sitios creados en el sistema de administración de contenido para tomar control.

WordPress lanzó WordPress 4.8.3 el martes, lo que mitiga la vulnerabilidad.

Las raíces de la inyección de SQL se remontan a una vulnerabilidad (CVE-2017-14723) notificada por primera vez el 17 de septiembre de 2017. WordPress intentó mitigar la vulnerabilidad con WordPress 4.8.2. Ese parche no solucionó el problema, empeoró la vulnerabilidad de seguridad subyacente y "rompió" una gran cantidad no revelada de complementos de WordPress de terceros.

La vulnerabilidad en sí afecta las versiones de WordPress 4.8.2 y anteriores.

La raíz del problema es que el sistema de preparación está mal diseñado y necesita ser reparado, indicó el investigador Anthony Ferrara. Dijo que un parche para eliminar la "doble preparación" de meta.php finalmente se entregó, mitigando la vulnerabilidad.

"Este tipo de correcciones puede ser complicado", dijo 
Matt Barry, líder desarrollador de WordFence. "Los complementos son a menudo las bajas de fuego amigo para este tipo de parches de WordPress".

"El problema central está mitigado. Mi perspectiva de la interacción fue frustrante al principio, pero fue mucho mejor hacia el final", dijo Ferraray en su blog. "Me decepcionó una buena parte de las últimas seis semanas. Ahora estoy cautelosamente esperanzado".