Otro día, otra vulnerabilidad en WordPress: de nuevo una vulnerabilidad XSS (cross-site scripting), y los culpables son JetPack (de nuevo), y el tema Twenty Fifteen. Entre ambos hay varios millones de instalaciones, así que hay un peligro potencial de ver sus blogs comprometidos. Al momento se sabe que se debe al uso de un paquete de WordPress llamado genericons, que usa un archivo inseguro que permite que deja abierto tu blog a ataques de tipo XSS; un atacante sólo tiene que engañarte o convencerte de que hagas clic en un link malicioso y listo, podrá tener control total de tu blog. A pesar de que WordPress ya parchó el tema y plugin en cuestión, parcharlo sólo requiere borrar el archivo “example.html” de cualquier instanaica de genericons que haya en tu instalación de WordPress. Muchos sitios de hosting ya implementan el parche, pero no está de más que revises que versiones tienes para verificar que todo ande en orden: las últimas versiones son WordPress 4.2.2 (ver cambios), JetPack 3.5.3 y Twenty Fifteen 1.2.
A estas horas tu blog ya debería estar actualizado automáticamente, pero por cualquier cosa, revisa tu sección de actualizaciones en tu panel, y de tener pendientes cualquiera de los tres (WordPress, JetPack o Twenty Fifteen), actualiza lo más pronto posible, pues ya están explotando esta vulnerabilidad.
La entrada Nueva vulnerabilidad XSS en WordPress (de nuevo) aparece primero en Blog de Orlando Alonzo.