Solo 3 días después del lanzamiento de WordPress 4.2, un investigador de seguridad descubrió una vulnerabilidad de XSS de día cero que afecta a WordPress 4.2, 4.1.2, 4.1.1, 4.1.3 y 3.9.3. Esto permite a un atacante inyectar JavaScript en los comentarios y secuestrar su sitio. El equipo de WordPress respondió rápidamente y solucionó el problema de seguridad en WordPress 4.2.1, y le recomendamos encarecidamente que actualice sus sitios de inmediato.
Jouko Pynnönen, investigador de seguridad de Klikki Oy que informó del problema, lo describió de la siguiente manera: si lo activa un administrador que inició sesión, el atacante puede usar la configuración predeterminada para ejecutar código arbitrario en el servidor a través del complemento y los editores de temas. El atacante también podría cambiar la contraseña del administrador, crear nuevas cuentas de administrador o hacer lo que pueda hacer el administrador actualmente conectado en el sistema de destino. Esta vulnerabilidad en particular es similar a la informada por Cedric Van Bockhaven que se corrigió en la versión de seguridad de WordPress 4.1.2. Desafortunadamente, no utilizaron la divulgación de seguridad adecuada y en su lugar publicaron el exploit públicamente en su sitio. Esto significa que quienes no actualicen su sitio correrán un grave riesgo.
Poner al día: Nos enteramos de que intentaron ponerse en contacto con el equipo de seguridad de WordPress pero no obtuvieron una respuesta rápida. Si no ha desactivado las actualizaciones automáticas, su sitio se actualizará automáticamente. Nuevamente, le recomendamos encarecidamente que actualice su sitio a WordPress 4.2.1. Asegúrese de hacer una copia de seguridad de su sitio antes de actualizar.