Hace escasamente una hora se ha publicado WordPress 3.5.2. Una versión destinada a solucionar algunas vulnerabilidades detectadas.
Entre estos fallos de seguridad resueltos se encuentran los siguientes:
- Bloqueo de peticiones falsas del lado del servidor que potencialmente podrían permitir a un atacante obtener acceso al sitio.
- No permitir a colaboradores publicar entradas de forma inadecuada, notificado por Konstantin Kovshenin, o reasignar la autoría de las entradas, notificado por Luke Bryan.
- Actualización de la librería externa SWFUpload para solucionar vulnerabilidades del tipo XSS. Notificado por mala y Szymon Gruszecki.
- Prevención de ataque por denegación de servicio, que afectaba a sitios que usan entradas protegidas por contraseña.
- Actualización de una librería externa de TinyMCE para solucionar una vulnerabilidad XSS. Notificado por Wan Ikram.
- Múltiples vulnerabilidades XSS. Notificadas por Andrea Santese y Rodrigo.
- Evitar la revelación de la ruta completa del servidor cuando la subida de un archivo falla. Notificado por Jakub Galczyk.
Además se han endurecido otras medidas de seguridad de menor impacto al editar archivos multimedia, al instalar/actualizar extensiones y temas, o una vulnerabilidad XXE en el sistema oEmbed. La lista de cambios completa se puede ver en las notas de lanzamiento de WordPress 3.5.2.
Como siempre con este tipo de versiones destinadas a mejorar la seguridad de nuestras instalaciones de WordPress se recomienda la actualización inmediata.
Todos mis clientes están ya funcionando con esta nueva versión, ¿y tú? ;)