Desarrolladores de WordPress solucionaron tres problemas de seguridad que incluían vulnerabilidades de tipo cross-site scripting e inyección de SQL en la última versión del CMS (Content Managemente System).

La actualización 4.7.2 fue liberada solo dos semanas después de que los desarrolladores lanzaron la versión previa.

Aaron Campbell, un contribuidor principal de WordPress, anunció la actualización de seguridad en el blog de WordPress.

Uno de los problemas, la inyección de SQL, afectó a WP_Query de WordPress, una clase utilizada para acceder a variables, cheques y funciones codificadas en el núcleo de WordPress. Mohammad Jangda, un desarrollador web de Automattic (la compañía matriz de WordPress), descubrió que la clase es vulnerable al pasar datos inseguros. Aunque el problema no afectó al núcleo de WordPress, Campbell escribe que WordPress fortaleció su seguridad para evitar que los complementos y los temas causaran más vulnerabilidades.

Otro problema fue la vulnerabilidad cross-site scripting que existía en la tabla de lista de puestos, una clase básica que utiliza WordPress para implementar la visualización de publicaciones en una tabla de lista. Poco se sabe sobre la vulnerabilidad fuera del hecho de que Ian Dunn, un miembro del equipo de seguridad de WordPress, lo informó.

La tercera vulnerabilidad estaba en la función "Press This", que permite a los usuarios realizar publicaciones de blog con un bookmarklet de navegador web. Según David Herrera, un desarrollador de software de Alley Interactive que encontró el error, se mostró a los usuarios que no tenían permiso para verlo la interfaz de usuario para asignar términos de taxonomía en la función.

Es la segunda vez en este año que WordPress recibe una actualización. Este mes se identificaron ocho problemas de seguridad en el sistema de administración de contenido, incluyendo importantes vulnerabilidades de tipo XSS y CSRF en la versión 4.7.1.