Actualización Urgente: WordPress 5.0.1 Resuelve Problemas de Seguridad

  • Autor Autor ramonjosegn
  • Fecha de inicio Fecha de inicio
ramonjosegn

ramonjosegn

Sigma
Verificación en dos pasos activada
Verificado por Whatsapp
¡Usuario popular!
Hola chicos/as.

Como era de esperar acaban de lanzar una actualización de wordpress sobre la 5.0, se trata de la versión 5.0.1 que corrige unos errores de seguridad a mi parecer bastante graves:

WordPress 5.0.1 Security Release
WordPress 5.0.1 Security Release

Los errores a grandes rasgos son:

  • Autores podían modificar metadatos para eliminar archivos para los que no tienen autorización. // Supongo que al borrar los metadados no borraban el archivo del disco, sino de la base de datos.
  • Autores podían podían crear publicaciones en "pots types" no autorizados con campos personalizados. // Casos espaciales seguramente. Para el que no lo sepa, los post types son normalmente "página" y "post", pero programando se pueden agregar otros, como en las webs de pelis que a veces agregan uno que es "película".
  • Colaboradores podían crear metadatos de manera que resulte en una inyección php. // Básicamente, ejecutar cualquier código php que les de la gana.
  • Colaboradores podían editar comentarios de usuarios con altos privilegios, los que era un riesgo potencial de XSS. // XSS es básicamente una inyección html: Puedes meter ahí html, css y javascript, con lo que puedes hacer lo que quieran en el front end de la web, inclutendo el robar los datos de quien visite la url donde está la inyección.
  • Un posible bug de XSS, no en wordpress mismo, sino en plugins en algunas ocasiones con campos para URLs.
  • El enlace de activación de usuario (ese que te da al registrarte para validar tu cuenta), podía ser indexado por los buscadores, exponiendo de esa manera el e-mail del usuario y en algunos casos raros, la contraseña generada por defecto.
  • Autores podían hacer bypass a la verificación de tipos de archivo válido para subir en servidores Apache, dando posibilidad a XSS. // Seguramente permitía saltarse la verificación y subir archivos .SVG, que es donde se puede hacer XSS.

( traducción y apuntes cortesía de [MENTION=6960]kj2[/MENTION] )

Vamos, que mejor que actualices o actualices... Y sino puedes hacer una "bajada de versión".
 
Última edición:
Huy yo no sabia que era así de grave... yo baje de versión porque como soy nuevo en esto, me complicaba mucho a la hora de crear post, ademas que no podía ponerle color a las listas; incluso cuando baje de versión me di cuenta que los post que cree con la versión 5.0 no guardaba las tags. La verdad aun no me animo a probar de nuevo... Como es tu experiencia con esta versión mejorada?
 
En lugar de "otras personas" (que puede ser cualquiera) cabe destacar que era "otros usuarios con rango de autor" (y contribuidor para la inyección php y el xss en los comentarios).

O sea, si tu eres el único usuario de tu sitio, no había problema, porque el problema esa el bypass a los privilegios y a la seguridad al subir archivos en el caso del último.

kj
 
Última edición:
kj2 dijo:
En lugar de "otras personas" (que puede ser cualquiera) cabe destacar que era "otros usuarios con rango de autor" (y contribuidor para la inyección php y el xss en los comentarios).

O sea, si tu eres el único usuario de tu sitio, no había problema, porque el problema esa el bypass a los privilegios y a la seguridad al subir archivos en el caso del último.

kj
Hacer clic para expandir...

Gracias por la aclaración (aunque yo no lo entendí así, de pronto leí muy rápido o mi inglés no es tan bueno).

Ya quedó corregido en cada texto, me comentas si toca afinarlo más o si quieres añadir una traducción alternativa, con gusto la copio/pego.

- - - Actualizado - - -

jell22ptc dijo:
Como es tu experiencia con esta versión mejorada?
Hacer clic para expandir...

El editor me está dando muchos problemas, llevo ya más de media docena de errores graves encontrados, los he reportado pero no han revisado el primero... :ambivalence::ambivalence::ambivalence:
 
Aquí te lo dejo "traducido" por mi y comentado al lado (con "//" inicia mi comentario):

  • Autores podían modificar metadatos para eliminar archivos para los que no tienen autorización. // Supongo que al borrar los metadados no borraban el archivo del disco, sino de la base de datos.
  • Autores podían podían crear publicaciones en "pots types" no autorizados con campos personalizados. // Casos espaciales seguramente. Para el que no lo sepa, los post types son normalmente "página" y "post", pero programando se pueden agregar otros, como en las webs de pelis que a veces agregan uno que es "película".
  • Colaboradores podían crear metadatos de manera que resulte en una inyección php. // Básicamente, ejecutar cualquier código php que les de la gana.
  • Colaboradores podían editar comentarios de usuarios con altos privilegios, los que era un riesgo potencial de XSS. // XSS es básicamente una inyección html: Puedes meter ahí html, css y javascript, con lo que puedes hacer lo que quieran en el front end de la web, inclutendo el robar los datos de quien visite la url donde está la inyección.
  • Un posible bug de XSS, no en wordpress mismo, sino en plugins en algunas ocasiones con campos para URLs.
  • El enlace de activación de usuario (ese que te da al registrarte para validar tu cuenta), podía ser indexado por los buscadores, exponiendo de esa manera el e-mail del usuario y en algunos casos raros, la contraseña generada por defecto.
  • Autores podían hacer bypass a la verificación de tipos de archivo válido para subir en servidores Apache, dando posibilidad a XSS. // Seguramente permitía saltarse la verificación y subir archivos .SVG, que es donde se puede hacer XSS.
Hacer clic para expandir...

- - - Actualizado - - -

ramonjosegn dijo:
El editor me está dando muchos problemas, llevo ya más de media docena de errores graves encontrados, los he reportado pero no han revisado el primero... :ambivalence::ambivalence::ambivalence:
Hacer clic para expandir...

A mi no me gusta mucho el nuevo editor, no me gusta que quede "delgado" en mi pantalla y que complica un poco el manejarlo (lo que antes era 0 clics ahora con uno o 2), aunque realmente me da igual al final, porque no es que lo necesite tan pulido para el uso que le doy.

kj
 
Última edición:
Agregada tu traducción [MENTION=6960]kj2[/MENTION] - gracias por tomarte el tiempo y los comentarios.

Yo sí estoy tratando en un blog con el nuevo editor... me tiene frito... pero en fin...
 
ramonjosegn dijo:
Gracias por la aclaración (aunque yo no lo entendí así, de pronto leí muy rápido o mi inglés no es tan bueno).

Ya quedó corregido en cada texto, me comentas si toca afinarlo más o si quieres añadir una traducción alternativa, con gusto la copio/pego.

- - - Actualizado - - -



El editor me está dando muchos problemas, llevo ya más de media docena de errores graves encontrados, los he reportado pero no han revisado el primero... :ambivalence::ambivalence::ambivalence:
Hacer clic para expandir...

Por lo visto es mejor seguir con la anterior hasta que hallan verdaderas mejoras. Gracias!
 
A mí lo que me la complica sobremanera es que las categorías me aparecen en órden alfabético pero sólo hasta la letra E, luego no hay más, no me muestra la lita completa.
 
y OJO, también actualizaron todas las versiones anteriores (desde la 3.7 a la 5) por el mismo problema, desde esas versiones tienen esos problemas.... baia baia
 
casi que me espero a la 5.0.2
 
Anhedonia dijo:
A mí lo que me la complica sobremanera es que las categorías me aparecen en órden alfabético pero sólo hasta la letra E, luego no hay más, no me muestra la lita completa.
Hacer clic para expandir...

Gua... ¿y ya lo reportaste?

Vi el problema reportado del orden alfabético... pero no comentaban nada de que salieran cortadas las categorías...

En serio, qué desastre...

- - - Actualizado - - -

georgebena dijo:
y OJO, también actualizaron todas las versiones anteriores (desde la 3.7 a la 5) por el mismo problema, desde esas versiones tienen esos problemas.... baia baia
Hacer clic para expandir...

Con razón había visto que tocaba subir de versión incluso si se usaba alguna antigua. :ambivalence::ambivalence::ambivalence:
 
Hoy al levantarme tenía no se cuantos emails de todos mis wordpress actualizados automáticamente...
 
Cuando tenían el nuevo editor en Beta, lo probé, y nunca me gustó, así que lo que hice fue actualizar todos mis sitios a la versión 4.9.8 poco antes que saliera la versión 5, y así los dejaré por un tiempo.
 
Tremendos problemas de seguridad que ha introducido la nueva versión de Wordpress, en producción mejor quedarse con la seria 4.9.x hasta que salga al menos la versión 5.1 o 5.2 de Wordpress.
 
yukiteruamano dijo:
Tremendos problemas de seguridad que ha introducido la nueva versión de Wordpress, en producción mejor quedarse con la seria 4.9.x hasta que salga al menos la versión 5.1 o 5.2 de Wordpress.
Hacer clic para expandir...

Increíble lo poco que habían revisado esta versión, de verdad. Aún no salgo de mi asombro...
 
No me convence nada, se esta pareciendo a las apps que por querer mejorar la cagan.
 
samklugoc dijo:
No me convence nada, se esta pareciendo a las apps que por querer mejorar la cagan.
Hacer clic para expandir...

ramonjosegn dijo:
Increíble lo poco que habían revisado esta versión, de verdad. Aún no salgo de mi asombro...
Hacer clic para expandir...

jajaj esto me recuerda un poco aunque no tiene relación con wordpress pero sitios tan enormes, con tal nivel de posicionamiento, con trafico orgánico tan gigantesco, entradas indexadas por millones... como lo es taringa.net querer cambiar el diseño total del sitio web a una versión nueva "v7" repleta de bugs...me da risa dañar algo que funciona... no se el motivo me imagino por estar a la vanguardia, pero siempre terminan con bugs y errores difíciles de reparar...

Al parecer como lo es taringa.net y wordpress se olvidaron de estadísticas

cm-wordpress-1511.png

Y que por querer agregar cosas pueden poner en riesgo millones de sitios webs....
 
Es que pareciera que están usando de conejillos de indias a los que usamos WP org para luego pasar todo ya pulido a wp com... en fin... Muchas personas se están quejando y hasta hay una petición abierta en charge para que este cambio no se haga... incluso lanzaron un fork...
 
Hay que estar conectado o registrado para responder aquí.

Temas similares

lombervid
Actualización urgente: Vulnerabilidad de seguridad en Wordpress 4.2
Respuestas
7
Visitas
571
mkal
M
Atrás
Arriba