Múltiples vulnerabilidades en WordPress
Durante las últimas horas, se ha dado a conocer que los sistemas de gestión de blogs basados en WordPress son vulnerables ante ciertas condiciones de contorno no especificadas.
WordPress es un sistema de gestión de blogs, que opera en lenguaje PHP y con soporte de base de datos MySQL, y ofrecido a la comunidad bajo licencia GPL. El proyecto, fundado por Matt Mullenweg, nació a raíz de otro gestor anterior denominado b2/cafelog. Con el permiso de Movable Type, WordPress es, con toda probabilidad, el gestor de blogs más
extendido en la blogosfera.
Los problemas documentados no han sido clarificados, quizás con la intención de no servir en bandeja datos a los usuarios maliciosos, para la explotación de los sitios afectados, que se podrían contar por millones. La única información que ha trascendido es que son más de 50 los problemas de seguridad corregidos con la nueva versión 2.0.4, y que son explotables de modo remoto. Lo que confiere, a falta de datos más claros, un estatus de criticidad moderada a este conjunto de problemáticas.
La detección de problemas de seguridad en WordPress se ha convertido en una actividad comunitaria lúdica. A través de los “bug hunts”, se insta a los usuarios a que sometan al gestor a todo tipo de verificaciones, con la finalidad de identificar problemas, que posteriormente derivarán en nuevas versiones parcheadas. Los resultados de estos esfuerzos están enfocados a la obtención de mejores y más seguras versiones, que posteriormente son reutilizadas por los usuarios.
Las versiones afectadas son, en principio la 2.0.3 y todas las anteriores. Se insta, por tanto, a que los usuarios de WordPress hagan uso de la recién liberada versión 2.0.4, para actualizar sus weblogs.