Múltiples vulnerabilidades (Cross Site Scripting – Cross Site Request Forgery) en WordPress

Existen múltiples fallos de tipo XSS y CSRF que afectan tanto la versión en desarrollo como a toda la rama 2.x (2.0.x, 2.1.x, 2.2) de WordPress. A diferencia de los reportes anteriores donde ponía a disposición soluciones temporales, esta vez por falta de tiempo y porque los archivos afectados no son imprescindibles para el funcionamiento de un blog, recomiendo que eliminen todos los archivos que se encuentran en wp-admin/import/ puesto que la mayoría de esas páginas son vulnerables.

Me parece que este tipo de fallos van a seguir apareciendo en la siguiente versión mayor (2.2) de WordPress, no sólo porque se agrega nueva funcionalidad, sino también porque muchos usamos plugins y temas vulnerables a XSS, CSRF e inclusive a Inyección de SQL. En mi opinión, mostrar al público los plugins instalados es jugar con fuego, ya que puede ser algo contraproducente para el autor del blog 😉

Nota: Para los curiosos, pueden ver las pruebas de concepto que envié al equipo de desarrollo de WordPress.

5 Replies to “Múltiples vulnerabilidades (Cross Site Scripting – Cross Site Request Forgery) en WordPress”

  1. Alex, gracias por el aviso. Ya elimine de el contenido de la carpeta /wp-admin/import.

    Sobre las vulnerabilidades de los plugins y temas, es inevitable vivir con ellos, estos nos ofrecen más funcionalidad al blog y haciendo copias de seguridad con frecuencia podremos estar un poco más tranquila si surge algun contratiempo pero nunca se sabe.

  2. Pingback: SigT

Comments are closed.