WordPress 2.2.3

Actualización: Ya publicaron el anuncio oficial, que por cierto me causa un poco de gracia porque mencionan mi nombre y el nick que uso para reportar vulnerabilidades más leves. 😀

Finalmente ya está disponible la versión 2.2.3 de WordPress, que corrige múltiples problemas de seguridad, entre los cuales, uno permite obtener los datos de cualquier usuario de un blog afectado.

Los archivos que cambian con respecto a la anterior versión son:

  • wp-includes/default-filters.php
  • wp-includes/plugin.php
  • wp-includes/query.php
  • wp-includes/formatting.php
  • wp-includes/feed-rss2-comments.php
  • wp-includes/rewrite.php
  • wp-includes/version.php
  • wp-includes/pluggable.php
  • wp-includes/widgets.php
  • wp-includes/rss.php
  • wp-includes/vars.php
  • xmlrpc.php
  • wp-mail.php
  • wp-admin/admin-ajax.php
  • wp-admin/admin-functions.php
  • wp-admin/rtl.css
  • wp-admin/options.php
  • wp-admin/install-rtl.css
  • wp-admin/widgets-rtl.css

Cualquiera que esté usando WordPress 2.2.2 o versiones anteriores con permalinks habilitadas (a.k.a URL's amigables), tiene que actualizar si o si a la versión que acaban de liberar o a la beta 2 de WordPress 2.3, si no lo hace, por lo menos debe bloquear el acceso a xmlrpc.php.

Por otro lado, también me comentan que liberarán una nueva versión de WordPress MU en los próximos días.

11 Replies to “WordPress 2.2.3”

  1. Pingback: SigT
  2. Nunca te pregunte si esta rama se ha corregido el bug que decias blind de sql injection gracias a parse_str...
    Segun recuerdo dijiste la version 2.3 ya venia con esos cambios, pero esta no la dejaste en claro...

    Saludos

  3. Si corrige el bug ese, que básicamente es una combinación de parse_str y la forma como son interpretadas las reglas de reescritura de URL's, el lunes haré público el advisory y una prueba de concepto.

    Si deseas te puedo enviar el exploit para que le des una mirada. 😉

    Saludos

  4. Sólo espero haber escrito bien el advisory para que se me entienda, aunque personalmente creo que el exploit me parece más explicativo que todo el texto que escribí. 😀

  5. venia con el 2.2.2, intente pasarme al 2.3 y al ver que es demasiado pesado, decidi volver al 2.2 y updatear al 2.2.3

    gracias alex por esta explicacion 🙂

Comments are closed.