{"id":126216,"date":"2024-01-17T13:19:16","date_gmt":"2024-01-17T11:19:16","guid":{"rendered":"https:\/\/quondos.com\/mag\/?p=126216"},"modified":"2024-01-17T13:19:17","modified_gmt":"2024-01-17T11:19:17","slug":"nueva-vulnerabilidad-en-wordpress-que-afecta-a-mas-de-2-millones-de-webs","status":"publish","type":"post","link":"https:\/\/quondos.com\/mag\/nueva-vulnerabilidad-en-wordpress-que-afecta-a-mas-de-2-millones-de-webs\/","title":{"rendered":"Nueva vulnerabilidad en WordPress que afecta a m\u00e1s de 2 millones de webs"},"content":{"rendered":"\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"654\" src=\"https:\/\/quondos.com\/mag\/wp-content\/uploads\/2023\/05\/wordpress-1024x654.jpg\" alt=\"\" class=\"wp-image-124491\" title=\"\" srcset=\"https:\/\/quondos.com\/mag\/wp-content\/uploads\/2023\/05\/wordpress-1024x654.jpg 1024w, https:\/\/quondos.com\/mag\/wp-content\/uploads\/2023\/05\/wordpress-300x191.jpg 300w, https:\/\/quondos.com\/mag\/wp-content\/uploads\/2023\/05\/wordpress-768x490.jpg 768w, https:\/\/quondos.com\/mag\/wp-content\/uploads\/2023\/05\/wordpress.jpg 1042w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n <p><b>Una reciente actualizaci\u00f3n de seguridad<\/b> en el plugin de WordPress Advanced Custom Fields (ACF), ha puesto en alerta a m\u00e1s de 2 millones de usuarios. Esta actualizaci\u00f3n, versi\u00f3n 6.2.5, busca solucionar una vulnerabilidad cuyos detalles y severidad son a\u00fan <u>parcialmente desconocidos<\/u>.<\/p>\n    \n    <div id=\"ez-toc-container\" class=\"ez-toc-v2_0_76 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">\u00cdndice de contenidos<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Alternar tabla de contenidos\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/quondos.com\/mag\/nueva-vulnerabilidad-en-wordpress-que-afecta-a-mas-de-2-millones-de-webs\/#%C2%BFQue_implica_esta_vulnerabilidad\" >\u00bfQu\u00e9 implica esta vulnerabilidad?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/quondos.com\/mag\/nueva-vulnerabilidad-en-wordpress-que-afecta-a-mas-de-2-millones-de-webs\/#Potenciales_cambios_criticos_en_la_version_625\" >Potenciales cambios cr\u00edticos en la versi\u00f3n 6.2.5<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/quondos.com\/mag\/nueva-vulnerabilidad-en-wordpress-que-afecta-a-mas-de-2-millones-de-webs\/#Una_actualizacion_de_seguridad_inusual\" >Una actualizaci\u00f3n de seguridad inusual<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/quondos.com\/mag\/nueva-vulnerabilidad-en-wordpress-que-afecta-a-mas-de-2-millones-de-webs\/#Descripcion_de_la_vulnerabilidad\" >Descripci\u00f3n de la vulnerabilidad<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/quondos.com\/mag\/nueva-vulnerabilidad-en-wordpress-que-afecta-a-mas-de-2-millones-de-webs\/#Proximos_cambios_en_la_funcion_the_field\" >Pr\u00f3ximos cambios en la funci\u00f3n the_field()<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/quondos.com\/mag\/nueva-vulnerabilidad-en-wordpress-que-afecta-a-mas-de-2-millones-de-webs\/#Guia_para_desarrolladores_para_uso_seguro_de_ACF\" >Gu\u00eda para desarrolladores para uso seguro de ACF<\/a><\/li><\/ul><\/nav><\/div>\n<h2><span class=\"ez-toc-section\" id=\"%C2%BFQue_implica_esta_vulnerabilidad\"><\/span>\u00bfQu\u00e9 implica esta vulnerabilidad?<span class=\"ez-toc-section-end\"><\/span><\/h2>\n    <p>Seg\u00fan la fuente, la vulnerabilidad necesita de un acceso a nivel de contribuyente o superior, lo que <b>complica potencialmente los ataques<\/b>. Sin embargo, los detalles sobre los posibles exploits o el alcance del da\u00f1o que un atacante podr\u00eda causar son a\u00fan inciertos.<\/p>\n\n    <h2><span class=\"ez-toc-section\" id=\"Potenciales_cambios_criticos_en_la_version_625\"><\/span>Potenciales cambios cr\u00edticos en la versi\u00f3n 6.2.5<span class=\"ez-toc-section-end\"><\/span><\/h2>\n    <p>La nueva actualizaci\u00f3n introduce cambios significativos en c\u00f3mo se procesan y se muestran los contenidos HTML potencialmente inseguros. Aunque <b>mejora la seguridad<\/b>, podr\u00eda afectar sitios que usan shortcodes para mostrar HTML complejo.<\/p>\n    <p>Tags como <code>&lt;script&gt;<\/code> y <code>&lt;iframe&gt;<\/code> ser\u00e1n eliminados autom\u00e1ticamente, aunque esto es <b>personalizable<\/b> seg\u00fan las necesidades de cada sitio.<\/p>\n\n    <h2><span class=\"ez-toc-section\" id=\"Una_actualizacion_de_seguridad_inusual\"><\/span>Una actualizaci\u00f3n de seguridad inusual<span class=\"ez-toc-section-end\"><\/span><\/h2>\n    <p>Lo inusual de esta actualizaci\u00f3n es su naturaleza p\u00fablica y detallada, debido a los <b>cambios cr\u00edticos<\/b> que podr\u00eda implicar. A diferencia de las actualizaciones t\u00edpicas, ACF ha optado por advertir a los usuarios sobre posibles problemas derivados de la soluci\u00f3n.<\/p>\n    <p>Adem\u00e1s, se ha programado otra actualizaci\u00f3n de seguridad para febrero de 2024, con el objetivo de dar a los usuarios m\u00e1s tiempo para prepararse y mitigar otros posibles cambios cr\u00edticos.<\/p>\n\n    <h2><span class=\"ez-toc-section\" id=\"Descripcion_de_la_vulnerabilidad\"><\/span>Descripci\u00f3n de la vulnerabilidad<span class=\"ez-toc-section-end\"><\/span><\/h2>\n    <p>Esta necesaria actualizaci\u00f3n responde a la detecci\u00f3n de una vulnerabilidad que permitir\u00eda a los usuarios con roles de contribuyente insertar c\u00f3digo malicioso. <b>ACF 6.2.5 buscar\u00e1 detectar y eliminar HTML inseguro<\/b> en las salidas de los shortcodes.<\/p>\n    \n    <h2><span class=\"ez-toc-section\" id=\"Proximos_cambios_en_la_funcion_the_field\"><\/span>Pr\u00f3ximos cambios en la funci\u00f3n the_field()<span class=\"ez-toc-section-end\"><\/span><\/h2>\n    <p>Las funciones <code>the_field()<\/code> y <code>the_sub_field()<\/code> sufrir\u00e1n revisiones de seguridad en las versiones 6.2.5 y 6.2.7 respectivamente. Se espera que incorporen medidas de seguridad por defecto para <b>prevenir la salida de contenido potencialmente da\u00f1ino<\/b>.<\/p>\n    \n    <h2><span class=\"ez-toc-section\" id=\"Guia_para_desarrolladores_para_uso_seguro_de_ACF\"><\/span>Gu\u00eda para desarrolladores para uso seguro de ACF<span class=\"ez-toc-section-end\"><\/span><\/h2>\n    <p>Se aconseja a los desarrolladores abordar la salida de HTML con precauci\u00f3n. Para casos que requieran salida de HTML sin filtrar, se recomienda el uso de <code>echo get_field()<\/code>. En otros casos, se deber\u00edan aplicar funciones de escape adecuadas como <code>wp_kses_post<\/code>.<\/p>\n    <p>ACF tambi\u00e9n ha introducido modificaciones en el manejo de tipos de campos, especialmente para campos que tradicionalmente producen HTML, como oEmbed y WYSIWYG. Estos cambios buscan <b>equilibrar la necesidad de salida de HTML con las consideraciones de seguridad<\/b>.<\/p>\n    \n\n\n","protected":false},"excerpt":{"rendered":"<p>Una reciente actualizaci\u00f3n de seguridad en el plugin de WordPress Advanced Custom Fields (ACF), ha puesto en alerta a m\u00e1s &#8230; <\/p>\n<p class=\"read-more-container\"><a title=\"Nueva vulnerabilidad en WordPress que afecta a m\u00e1s de 2 millones de webs\" class=\"read-more button\" href=\"https:\/\/quondos.com\/mag\/nueva-vulnerabilidad-en-wordpress-que-afecta-a-mas-de-2-millones-de-webs\/#more-126216\" aria-label=\"Leer m\u00e1s sobre Nueva vulnerabilidad en WordPress que afecta a m\u00e1s de 2 millones de webs\">Leer m\u00e1s<\/a><\/p>\n","protected":false},"author":850,"featured_media":124491,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[163],"tags":[],"class_list":["post-126216","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-diseno-web","generate-columns","tablet-grid-50","mobile-grid-100","grid-parent","grid-50","no-featured-image-padding"],"_links":{"self":[{"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/posts\/126216","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/users\/850"}],"replies":[{"embeddable":true,"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/comments?post=126216"}],"version-history":[{"count":3,"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/posts\/126216\/revisions"}],"predecessor-version":[{"id":126219,"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/posts\/126216\/revisions\/126219"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/media\/124491"}],"wp:attachment":[{"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/media?parent=126216"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/categories?post=126216"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/tags?post=126216"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}