¡WordPress 5.4.2 ya está disponible!

Esta versión de seguridad y mantenimiento presenta 23 correcciones y mejoras. Además, añade una serie de soluciones de seguridad, consulta la lista a continuación.

Estos errores afectan a WordPress 5.4.1 y versiones anteriores; la versión 5.4.2 los corrige, por lo que querrás actualizar.

Si aún no has actualizado a 5.4, también hay versiones actualizadas para 5.3 y anteriores que corrigen los errores por ti.

Actualizaciones de seguridad

Las versiones 5.4 y anteriores de WordPress se ven afectadas por los siguientes errores, que se corrigen en la versión 5.4.2. Si aún no has actualizado a 5.4, también hay versiones actualizadas para 5.3 y anteriores que solucionan los problemas de seguridad.

• Gracias a Sam Thomas (jazzy2fives) por encontrar un problema de XSS en el que los usuarios autenticados con bajos privilegios podían añadir JavaScript a las entradas en el editor de bloques.
• Gracias a Luigi – (gubello.me) por descubrir un problema de XSS en el que los usuarios autenticados con permisos de subida podían añadir JavaScript a los archivos multimedia.
• Gracias a Ben Bidner del equipo de seguridad de WordPress por encontrar un problema de redireccionamiento abierto en wp_validate_redirect().
• Gracias a Nrimo Ing Pandum por encontrar un problema de XSS autenticado a través de la subida de temas.
• Gracias a Simon Scannell de RIPS Technologies por encontrar un problema en el que la opción set-screen-option podía ser mal utilizada por los plugins que conducen a la escalada de privilegios.
• Gracias a Carolina Nymark por descubrir un problema en el que los comentarios de las entradas y páginas protegidas con contraseña podrían mostrarse bajo ciertas condiciones.

Gracias a todos los que han informado por divulgar en privado las vulnerabilidades. Esto le dio tiempo al equipo de seguridad para corregir las vulnerabilidades antes de que los sitios de WordPress pudieran ser atacados.

También se ha implementado una actualización de mantenimiento para las versiones 5.1, 5.2 y 5.3. Consulta las notas del desarrollador relacionadas para obtener más información.

Puede navegar por la lista completa de cambios en el Trac.

Para obtener más información, explora la lista completa de cambios en el Trac o consulta la página de documentación de la Versión 5.4.2.

WordPress 5.4.2 es una versión de mantenimiento de ciclo corto. La próxima versión principal será la versión 5.5.

Puedes descargar WordPress 5.4.2 desde el botón en la parte superior de esta página, o visitar tu Escritorio → Actualizaciones y hacer clic en Actualizar ahora.

Si tienes sitios que admiten actualizaciones automáticas en segundo plano, ya habrán comenzado el proceso de actualización.

¡Agradecimientos y reconococimientos!

Además de los investigadores de seguridad mencionados anteriormente, agradecemos a todos los demás que ayudaron a hacer realidad WordPress 5.4.2:

Andrea Fercia, argentite, M Asif Rahman, Jb Audras, Ayesh Karunaratne, bdcstr, Delowar Hossain, Rob Migchels, donmhico, Ehtisham Siddiqui, Emilie LEBRUN, finomeno, garethgillman, Giorgio25b, Gabriel Maldonado, Hector F, Ian Belanger, Aaron Jorbin, Mathieu Viet, Javier Casares, Joe McGill, jonkolbert, Jono Alderson, Joy, Tammie Lister, Kjell Reigstad, KT, markusthiel, Mayank Majeji, Mel Choyce-Dwan, mislavjuric, Mukesh Panchal, Nikhil Bhansi, oakesjosh, Dominik Schilling, Arslan Ahmed, Peter Wilson, Carolina Nymark, Stephen Bernhardt, Sam Fullalove, Alain Schlesser, Sergey Biryukov, skarabeq, Daniel Richards, Toni Viemerö, suzylah, Timothy Jacobs, TeBenachi, Jake Spurlock y yuhin.

Este artículo es una traducción del original publicado por Jake Spurlock en el blog oficial de WordPress.org. Haz clic aquí para ir al artículo en inglés.

¡WordPress 5.4.1 ya está disponible!

Esta versión de seguridad y mantenimiento presenta 17 correcciones de errores además de 7 correcciones de seguridad. Como se trata de una versión de seguridad, se recomienda que actualices tus sitios de inmediato. Todas las versiones desde WordPress 3.7 también se han actualizado.

WordPress 5.4.1 es una versión de seguridad y mantenimiento de ciclo corto. La próxima versión principal será la versión 5.5.

Puedes descargar WordPress 5.4.1 desde WordPress.org, o visita tu «Escritorio → Actualizaciones» y haz clic en «Actualizar ahora».

Si tienes sitios que admiten actualizaciones automáticas en segundo plano, ya habrán comenzado el proceso de actualización.

Actualizaciones de seguridad

Siete problemas de seguridad afectan a las versiones 5.4 y anteriores de WordPress. Si aún no has actualizado a la versión 5.4, también se han actualizado todas las versiones de WordPress desde 3.7 para solucionar los siguientes problemas de seguridad:

• Agradecimientos para Muaz Bin Abdus Sattar y Jannes, quienes informaron de forma independiente un problema donde los tokens de restablecimiento de contraseña no se invalidaron correctamente.
• Agradecimientos para ka1n4t por encontrar un problema en el que ciertas publicaciones privadas se pueden ver sin autenticar.
• Agradecimientos para Evan Ricafort por descubrir un problema con XSS en el Personalizador.
• Agradecimientos para Ben Binder del equipo de seguridad de WordPress que descubrió un problema de XSS en el bloque de búsqueda.
• Agradecimientos para Nick Daugherty de los equipos de WordPress VIP y seguridad de WordPress qué descubrió un problema de XSS en wp-object-cache.
• Agradecimientos para Ronnie Goodrich (Kahoots) y Jason Medeiros quienes informaron de forma independiente un problema de XSS en la subida de archivos.
• Agradecimientos para Weston Ruter por corregir una vulnerabilidad de XSS almacenada en el Personalizador de WordPress.
• Además, Nguyen the Duc descubrió un problema de XSS autenticado en el editor de bloques en WordPress 5.4 RC1 y RC2. Fue arreglado en 5.4 RC5. Queríamos asegurarnos de darles crédito y agradecerles por todo su trabajo para hacer que WordPress sea más seguro.

Gracias a todos por divulgar en privado las vulnerabilidades. Esto le dio tiempo al equipo de seguridad para corregir las vulnerabilidades antes de que los sitios de WordPress pudieran ser atacados.

Para obtener más información, explora la lista completa de cambios en el Trac o consulta la página de la documentación de la versión 5.4.1 en HelpHub.

Además de los investigadores de seguridad mencionados anteriormente, gracias a todos los que ayudaron a hacer realidad WordPress 5.4.1:

Alex Concha, Andrea Fercia, Andrew Duthie, Andrew Ozz, Andy Fragen, Andy Peatling, arnaudbroes, Chris Van Patten, Daniel Richards, DhrRob, Dono12, dudo, Ehtisham Siddiqui, Ella van Durpe, Garrett Hyder, Ian Belanger, Ipstenu (Mika Epstein), Jake Spurlock, Jb Audras, John Blackbourn, John James Jacoby, Jonathan Desrosiers, Jorge Costa, K. Adam White, Kelly Choyce-Dwan, MarkRH, mattyrob, Miguel Fonseca, Mohammad Jangda, Mukesh Panchal, Nick Daugherty, noahtallen, Paul Biron, Peter Westwood, Peter Wilson, pikamander2, r-a-y, Riad Benguella, Robert Anderson, Samuel Wood (Otto), Sergey Biryukov, Søren Brønsted, Stanimir Stoyanov, tellthemachines, Timothy Jacobs, Toro_Unit (Hiroshi Urabe), treecutter, y yohannp.

Este artículo es una traducción del original publicado por Jake Spurlock en el blog oficial de WordPress.org. Haz clic aquí para ir al artículo en inglés.