Recientemente ha sido publicada una nueva versión de WordPress, que contiene 3 correcciones de seguridad. 

Recursos afectados: 

WordPress, versiones anteriores a 5.9.2.

Descripción:

Las vulnerabilidades reportadas aún no poseen un CVE asignado, las mismas se componen de 1 de severidad Alta y 2 de severidad Media, las cuales se detallan a continuación:

• Vulnerabilidad de severidad alta, con una puntuación de 8.0. Esta se debe a una falla de secuencias de comandos entre sitios, específicamente en la función wp_filter_global_styles_post que permite una serie de omisiones manejadas por wp_kses almacenadas en Contributor+ Stored XSS. ‎Esta vulnerabilidad requiere que el atacante tenga acceso a la cuenta, de al menos un usuario de nivel de colaborador. Una explotación exitosa podría inyectar código JavaScript malicioso.
• Vulnerabilidades de severidad media, con una puntuación de 5.0. Estas vulnerabilidades se deben a fallas en un componente con dependencia de jQuery, que permiten a los atacantes inyectar valores en "propiedades" de objetos de JavaScript. La explotación requeriría la interacción del usuario, como un atacante que engaña a una víctima para que haga clic en un enlace, similar al Cross-Site Scripting (XSS). Un atacante podría ejecutar código JavaScript en el navegador de la víctima.

Recomendaciones:

Actualizar inmediatamente a la versión 5.9.2 desde WordPress.org o desde el panel de control (Updates > Update Now).

Referencias:

• https://wordpress.org/news/2022/03/wordpress-5-9-2-security-maintenance-release/
• https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/actualizacion-seguridad-592-wordpress
• https://www.wordfence.com/blog/2022/03/wordpress-5-9-2-security-update-fixes-xss-and-prototype-pollution-vulnerabilities/