Trusted WordPress tutorials, when you need them most.
Beginner’s Guide to WordPress
Copa WPB
25 Million+
Websites using our plugins
Years of WordPress experience
WordPress tutorials
by experts

WordPress 4.2.1 – La versión de seguridad corrige una vulnerabilidad XSS de día cero – Actualizar ahora

Nota editorial: Ganamos una comisión de los enlaces de socios en WPBeginner. Las comisiones no afectan a las opiniones o evaluaciones de nuestros editores. Más información sobre Proceso editorial.

Apenas 3 días después de la versión de WordPress 4.2, un investigador de seguridad ha encontrado una vulnerabilidad XSS de día cero que afecta a WordPress 4.2, 4.1.2, 4.1.1, 4.1.3 y 3.9.3. Esto permite a un atacante inyectar JavaScript en los comentarios y hackear su sitio. El equipo de WordPress respondió rápidamente y corrigió el problema de seguridad en WordPress 4.2.1, por lo que recomendamos encarecidamente que actualicen sus sitios inmediatamente.

WordPress XSS Security

Jouko Pynnönen, un investigador de seguridad de Klikki Oy, que informó del problema, lo describió como:

Si se activa por un administrador conectado, bajo los ajustes por defecto el atacante puede aprovechar la vulnerabilidad para ejecutar código arbitrario en el servidor a través de los editores de plugins y temas.

Alternativamente, el atacante podría cambiar la contraseña del administrador, crear nuevas cuentas de administrador, o hacer cualquier otra cosa que el administrador actualmente conectado puede hacer en el sistema de destino.

Esta vulnerabilidad en particular es similar a la informada por Cedric Van Bockhaven, que fue parcheada en la versión de seguridad WordPress 4.1.2.

Desafortunadamente, no utilizaron la divulgación de seguridad adecuada y en su lugar publicaron el exploit en su sitio. Esto significa que quienes no actualicen su sitio correrán graves riesgos.

Actualización: Hemos sabido que intentaron ponerse en contacto con el equipo de seguridad de WordPress, pero no obtuvieron una respuesta oportuna.

Si no ha desactivado las actualizaciones automáticas, su sitio se actualizará automáticamente.

Una vez más, le recomendamos encarecidamente que actualice su sitio a WordPress 4.2.1. Asegúrate de hacer una copia de seguridad de tu sitio antes de actualizarlo.

Descargo: Nuestro contenido está apoyado por los lectores. Esto significa que si hace clic en algunos de nuestros enlaces, podemos ganar una comisión. Vea cómo se financia WPBeginner , por qué es importante, y cómo puede apoyarnos. Aquí está nuestro proceso editorial .


Editorial Staff at WPBeginner is a team of WordPress experts led by Syed Balkhi with over 16 years of experience in WordPress, Web Hosting, eCommerce, SEO, and Marketing. Started in 2009, WPBeginner is now the largest free WordPress resource site in the industry and is often referred to as the Wikipedia for WordPress.

El último kit de herramientas de WordPress

Obtenga acceso GRATUITO a nuestro kit de herramientas - una colección de productos y recursos relacionados con WordPress que todo profesional debería tener!

Reader Interactions

16 comentariosDeja una respuesta

  1. Syed Balkhi says

    Hey WPBeginner readers,
    Did you know you can win exciting prizes by commenting on WPBeginner?
    Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
    You can get more details about the contest from here.
    Start sharing your thoughts below to stand a chance to win!

  2. Rajnish Tyagi says

    hi there,

    my site was 2 times in last week, i am using aws server, for database i am using RDS, but today my database was crashed it take 2 hours for recover, i am using the latest version of wprdress 4.2.2

    please advice me some good security tips


  3. Mike says

    If you have Akismet running there is a good chance that the comments will get flagged as spam so do not check your spam queue.

  4. Bernhard says

    Please take a look at where it is clearly explained how they tried contacting and received no reply SINCE NOVEMBER 2014 (Confirmed vulnerable: WordPress 4.2, 4.1.2, 4.1.1, 3.9.3.):

    “WordPress has refused all communication attempts about our ongoing security vulnerability cases since November 2014. We have tried to reach them by email, via the national authority (CERT-FI), and via HackerOne. No answer of any kind has been received since November 20, 2014. According to our knowledge, their security response team have also refused to respond to the Finnish communications regulatory authority who has tried to coordinate resolving the issues we have reported, and to staff of HackerOne, which has tried to clarify the status our open bug tickets.”

    If that is correct, disclosing the issue was the only responsible thing to do, and sites are vulnerable not because of the disclosure, but because of the failure on the part of WordPress to address this issue for almost 6 Months.

    I understand that security is a complex issue, but please get your facts straight.

  5. Bilal Bin Amar says

    but after the update, my CMS(wordpress) and my Site have became very slow, under the CMS when i click in the added a plugin this is giving error

  6. William Charles says

    I was auto updated and now it’s asking me to update my database, when I update my data base I get the following error: Catchable fatal error: Object of class WP_Error could not be converted to string in /home/doctorof/public_html/wp-admin/includes/upgrade.php on line 1459

    Any thoughts on how to fix it? Tried the usual methods (turning off plugins, default theme etc).

    • Editorial Staff says

      Please get in touch with your hosting provider. This may be happening due to a database corrupt table. We had it happened with our site List25, and our host was able to fix it right away.


    • kunwar says

      Just visit your admin login page /wp-admin and then press the update database button, this should fix the issue.

  7. pmisun says

    After the auto update applied it totally messed up our instances and we got no server responses. Investigating for 6 hours now, with no positive results. Server is fine, ip providers / isps are fine…

  8. Elaine Maul says

    Thank you for the alert! Although I have automatic updates set, it hadn’t got round to doing it yet for some reason, so I have actioned it myself :)
    Thank you :)

Responder a kunwar Cancelar respuesta

Gracias por elegir dejar un comentario. Tenga en cuenta que todos los comentarios son moderados de acuerdo con nuestros política de comentarios, y su dirección de correo electrónico NO será publicada. Por favor, NO utilice palabras clave en el campo de nombre. Tengamos una conversación personal y significativa.