Acaba de publicarse hace menos de una hora WordPress 3.6.1, calificado como versión de mantenimiento y seguridad.
Es decir estamos hablando de la clásica versión “x.y.1” que suele preceder a los grandes lanzamientos, resolviendo pequeños fallos detectados en estos. Y en este caso, además, esta versión incluye correcciones de fallos de seguridad (que afectan a todas las versiones anteriores) y por lo tanto se aconseja la actualización inmediata.
- Bloqueo de “desserialización” de PHP poco segura que podría ocurrir en situaciones y configuraciones puntuales, que podrían llevar a la ejecución de código remoto. Descubierto por Tom Van Goethem.
- Evitar que un usuario con el rol de autor, sea capaz de crear una entrada “escrita por” otro usuario, usando una petición especialmente construida a mano para tal fin. Descubierto por Anakorn Kyavatanakij.
- Corregida validación de entrada insuficiente que podría conllevar la redirección o guía del usuario hacia otro sitio web. Descubierto por Dave Cummo.
Además de lo anterior, se han realizado ajustes entorno a la seguridad de la subida de archivos para mitigar potenciales vulnerabilidades XSS.
Todos mis clientes han sido ya actualizados a esta nueva versión, ¿y tú, ya estás actualizado? ;)