Noticias
Sep
20
Actualización de seguridad 4.8.2 para WordPress
Publicado por Operador Nosolored el 20/09/2017 04:48 PM

Fuente INCIBE: Actualización de seguridad 4.8.2 para WordPress

Fecha de publicación:
20/09/2017
Importancia:
4 - Alta
Recursos afectados:
Todas las versiones anteriores a la 4.8.2 están afectadas por estas vulnerabilidades.
Descripción:
Wordpress ha publicado una actualización de seguridad que corrige varias vulnerabilidades.
Solución:
Actualizar a la versión 4.8.2 de WordPress, actualizando la versión existente o descargándola desde: Download WordPress 4.8.2
Detalle:
La actualización soluciona las siguientes vulnerabilidades:
  • $wpdb->prepare() puede crear peticiones inseguras e inesperadas que lleven a una inyección SQL (SQLi). El núcleo de WordPress no es directamente vulnerable a este problema pero se ha añadido un refuerzo para evitar que plugins y temas provoquen una vulnerabilidad accidentalmente.
  • Cross-site scripting (XSS) en oEmbed discovery.
  • Cross-site scripting (XSS) en el editor visual.
  • Salto de directorio en el código de descompresión de archivos.
  • Cross-site scripting (XSS) en el editor de plugins.
  • Redirección abierta en las pantallas de edición de usuarios y términos.
  • Salto de directorio en el personalizador.
  • Cross-site scripting (XSS) en los nombres de plantilla.
  • Cross-site scripting (XSS) en la ventana emergente de añadir enlaces.
 

Leer más »



Sep
18
Configuración de correo para servidores con smtp-auth
Publicado por Nosolored SL el 18/09/2014 10:29 AM

Si usa el programa de correo Thunderbird:


En Servidor SMTP: nombre del dominio (ejemplo midominio.com)
Puerto: 25 o 587
Seguridad e identificación: Seguridad de la conexión: STARTTLS o Ninguna
Método de identificación: Contraseña normal  (inserte aquí la clave de la cuenta de e-mail)
Nombre de usuario: cuenta completa de e-mail, ejemplo info@midominio.com

 

Es probable que le indique Thunderbird que añada una excepción de seguridad para la nueva configuración. Confírmelo
Para otros programas de correo inserte esos mismos valores en los apartados que el programa le indique.En la seguridad smpt puede indicar tanto Ninguna como SSL. El puerto 25, 587 ó si usa SSL 465.
Nota: sustituya midominio.com por el que esté usando.


Para Outlook (las opciones pueden variar según la versión utilizada):

Seleccione con el botón derecho su cuenta de correo y haga clic en propiedades de la cuenta.En Configuración de la cuenta haga clic en Agregue quite cuentas o cambie la configuración de las existentes. Una vez sobre su e-mail (ejemplo info@midominio.com) haga clic sobre él.Le mostrará una ventana con opciones. Haga clic en Más configuraciones y posteriormente en Servidor de salida.

 








En esta pestaña debe tener marcada la opción de:

Mi servidor de salida (SMTP) requiere autentificacióne Iniciar sesión utilizando Nombre de usuario: Aquí debe insertar la cuenta completa (ejemplo info@midominio.com)

Contraseña: la clave de su correo

Haga clic en aceptar y compruebe que puede enviar correo.

 


Leer más »



Jun
26
Fuentes: http://www.securitybydefault.com/2013/06/actualizacion-urgente-wordpress-352-por.html
http://ayudawordpress.com/actualizacion-de-seguridad-wordpress-3-5-2/

Acaba de hacerse pública una actualización del gestor de contenidos y blogs Wordpress, 3.5.2, en la que se solucionen multitud de vulnerabilidades de seguridad presentes en versiones anteriores.

Entre las correcciones destacan las siguientes (las hay para todos los gustos y colores...):
  • Bloqueo de ataques por manipulación de peticiones que podrían permitir a un atacante conseguir acceso al sitio. Se ha detectado un gran ataque masivo a blogs para intentar obtener, mediante fuerza bruta, la contraseña del usuario admin, tal y como se informa en esta noticia de TechCrunch. Todavía no se han incluido los detalles de esta vulnerabilidad en su CVE reservado CVE-2013-2199
  • Evitar la posibilidad de los usuarios con perfil de contribución eleven privilegios y puedan publicar por su cuenta y sin moderación, así como evitar la posibilidad de reasignar la autoría de otros posts ajenos. CVE-2013-2200
  • Actualización de la librería externa SWFUpload que corrige un Cross-Site Scripting. Más información acerca de esta nueva versión de la librería en este enlace, que además ahora es mantenida por el propio equipo de Wordress y se puede descargar desde este repositorio de Github. CVE-2013-2205
  • Prevención de ataques de denegación de servicio contra blogs que contengan posts protegidos con contraseña. La vulnerabilidad reside en el fichero wp-includes/class-phpass.php de Wordpress 3.5.1, provocando una posible denegación de servicio en el servidor debido a un alto consumo de CPU al modificar el valor de la cookie wp-postpass.  CVE-2013-2173
  • Actualización de la librería externa TinyMCE debido a una vulnerabilidad que permite la suplantación de contenido mediante el applet Flash en el plugin TinyMCE Media. De momento no sabemos mucho más, y el CVE-2013-2204 sigue reservado.
  • Cross-Site Scripting (CVE-2013-2201) tanto al editar ficheros multimedia como al instalar o actualizar plugins y temas.
  • Vulnerabilidad al mostrar la ruta completa (Path Disclosure) de ficheros cuando su subida falla. CVE-2013-2203
Estas son las vulnerabilidades principales, pero hay muchas más, por lo que ¡actualizad cuanto antes a Wordpress 3.5.2!

Leer más »