El 7 de enero de 2022 WordPress.org lanzó una actualización de seguridad que corrige 4 nuevas vulnerabilidades que afectan a este sistema de gestión de contenidos, desde la versión 3.7 hasta la 5.8.

La actualización lanzada corrige las siguientes vulnerabilidades:

• stored XSS a través de los post slugs (CVE-2022-21662, Severidad Alta).
• Object injection en algunas instalaciones multisitio (CVE-2022-21663, Severidad Media).
• SQL injection en WP_Query (CVE-2022-21661, Severidad Alta).
• SQL injection en WP_Meta_Query (CVE-2022-21664, Severidad Alta) (sólo es relevante en las versiones entre la 4.1 y la 5.8).

Los ataques de tipo stored XSS o persistentes consisten en inyectar código sobre un determinado sitio web, el cual pasa a formar parte del propio código. Este tipo de ataque es más peligroso que el XSS no persistente debido a que afecta a todos los usuarios que ingresen en el sitio web luego de efectuado el ataque. Los slugs en WordPress son el texto que viene después del nombre del dominio, formando parte de la dirección que conduce hacia el contenido del sitio web.

Las vulnerabilidades fueron detectadas y comunicadas de manera privada, lo que permitió realizar las correcciones en WordPress antes de que los atacantes pudieran explotarlas.

Recomendaciones:

Realizar de inmediato la actualización de WordPress a la versión 5.8.3.

Referencias:

• https://es.wordpress.org/2022/01/07/wordpress-5-8-3-actualizacion-de-seguridad/
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-21661
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-21662
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-21663
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-21664