¿Una mejora sin más?
[ACT 24/2]
Ha vuelto a pasar, en el registro de cambios de Essential Addons dice:
«Mejora: Saneamiento de datos y escape para mejora de la seguridad»
Pues, no es una simple mejora es una corrección de una vulnerabilidad XSS, no es grave, pero es un agujero que hay que tapar
[Fin ACT 24/2]
Me he encontrado en el registro de cambios de Essential Addons una escueta nota que dice «Seguridad mejorada para evitar la inclusión de archivos no deseados de un servidor remoto a través de una petición ajax». Y esto que presentan como una mejora es realmente una corrección de un grave agujero de seguridad, así que antes de que sigas leyendo…
¡Actualiza Essential Addons inmediatamente! Si quieres saber más, sigue leyendo el artículo ¡Después de actualizar!
¿o un agujero de los gordos?
Un rato después de darme cuenta de que ahí olía a chamusquina, el bueno de Google Now me presentó una noticia de WPTavern que hablaba de lo mismo. Desde allí remiten a Patchstack, quienes hablan de una vulnerabilidad crítica solucionada en Essential Addons.
Te la pueden liar parda
Según cuentan esto afecta especialmente a las webs que usan los widgets de galería dinámica y galería de productos (no me preguntes por qué).
La cuestión es que si no actualizas, te pueden meter un fichero en el sistema de archivos local de la web y eso significa que te pueden despelotar la web y el servidor.
A ver, que es poco probable que nadie haya explotado este agujero, pero mejor no dar tiempo a alguno de estos indeseables (me dicen de dirección que no se puede decir hijosdeputa) a que se pongan manos a la obra.