Hoy me entero de un nuevo fallo de seguridad descubierto por Fernando Arnaboldi y José Orlicki que afecta a la version 2.8 y anterior del sistema de administracion de contenidos utilizado por muchos: WordPress.
Al parecer se trata de un fallo de LFI y XSS, el cual se puede explotar de forma remota, este permite a los usuarios sin privilegios visualizar informarcion del panel de configuracion de plugins asi como tambien modificarlos, las versiones vulnerables a este problema son:
- WordPress 2.8
- Versiones anteriores a la 2.8
¿Como se puede prevenir?
Esta vulnerabilidad, se puede prevenir a través del control de acceso a los archivos dentro de la carpeta wp-admin. El acceso puede ser prohibido por el uso de mecanismo de control de acceso de Apache (.htaccess).
Sin embargo si no quieres o no tienes la capacidad de configurar de forma adecuada el archivo .htaccess es recomendable actualizar de forma urgente a la version 2.8.1 que saldra de forma oficial el 9 de julio de 2009, ya que en este momento dicha version se encuentra en estado RC. De esta forma nuestro wordpress quedara parchado e inmune a este fallo descubierto recientemente, para mas informacion pueden visitar este sitio, donde encontraran una explicacion mas a fondo sobre el funcionamiento y la explotacion de esta vulnerabilidad
Valora en Bitacoras.com: Hoy me entero de un nuevo fallo de seguridad descubierto por Fernando Arnaboldi y José Orlicki que afecta a la version 2.8 y anterior del sistema de administracion de contenidos utilizado por muchos: WordPress. Al parecer se…..