Webmaster Libre

Desarrollo web con software libre

Buscador

Pesadilla en WordPress Street

Parece que los desarrolladores de WordPress están inmersos en una pesadilla donde las vulnerabilidades y fallos les persiguen y acechan por todos los rincones.

En este caso, el fallo provoca que nuestras instalaciones de WordPress sean vulnerables a inyecciones de código malicioso mediante los comentarios. Me hace gracia pensar que no hace un mes me avisaba NeKronos de la posible puerta a ataques que dejaban los comentarios permitiendo HTML (echa un curriculum en WordPress que parece que lo llevas mejor que ellos).

Para protegernos de esta nueva vulnerabilidad crítica sólo tendremos que sobreescribir con archivos parcheados unos cuantos archivos de nuestro WordPress:

  • wp-comments-post.php
  • wp-includes/comment-functions.php
  • wp-includes/default-filters.php
  • wp-includes/functions.php

Descarga los archivos, diferentes para cada rama, en:

Por otro lado, también se han lanzado versiones candidatas para la 2.0.10 y la 2.1.4, estas corrigen los fallos y en la rama 2.0.x solucionan una incompatibilidad tonta con PHP4. No obstante recuerda que son versiones candidatas y, yo al menos, recomiendo parchear los archivos y esperar a que salgan las versiones finales (cruzando mucho los dedos para que no vengan con agujero nuevo)

Otras entradas

Esta entrada fue publicada por Alma Fernández el Jueves, 15 de Marzo de 2007 y está archivada en: Blogs, CMS. Puedes dejar un comentario, o enviar un trackback desde tu sitio.

4 Comentarios

Agrega el tuyo
  1. Pesadilla en WordPress Street…

    Parece que los desarrolladores de WordPress están inmersos en una pesadilla donde las vulnerabilidades y fallos les persiguen y acechan por todos los rincones. En este caso, el fallo provoca que nuestras instalaciones de WordPress sean vulnerables a i…

    noticias.woxblog.com 15 Marzo, 2007

  2. Parece que andan por una muy mala racha los de Wordpress :S

    Al menos lo arreglan lo más pronto posible :)

    AnyKiller 16 Marzo, 2007

  3. Dentro de poco sacare un CMS (se llamara Nautilus), espero no estar demasiadas veces en milw0rm.com

    Una practica buena es desarrollar en reporte de errores notice, warning y strict, por que muchos CMS (entre ellos mambo) sale el chorizo de errores notice y tienes que agregar al script un error_reporting(null)

    Saludos a WebmasterLibre y Senda

    NeKronos 20 Marzo, 2007

  4. Uy que bueno, me dejas con unas ganas enormes de probarlo cuando lo tengas jeje

    Alma Fernández 21 Marzo, 2007

Comentar:

Algunas etiquetas HTML permitidas:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Blogalaxia BlogESfera - Directorio de Blogs Hispanos Web Developement Blogs - BlogCatalog Blog Directory