Nueva vulnerabilidad en WordPress 2.8

Hoy me entero de un  nuevo fallo de seguridad descubierto por Fernando Arnaboldi y José Orlicki que afecta a la version 2.8 y anterior del sistema de administracion de contenidos utilizado por muchos: WordPress.

Al parecer se trata de un fallo  de LFI y XSS, el cual se puede explotar de forma remota, este permite a los usuarios sin privilegios  visualizar informarcion del panel de configuracion de plugins  asi como tambien modificarlos, las versiones vulnerables  a este problema son:

  • WordPress 2.8
  • Versiones anteriores a la 2.8

¿Como se puede prevenir?

Esta vulnerabilidad, se puede prevenir a través del control de acceso a los archivos dentro de la carpeta wp-admin. El acceso puede ser prohibido  por el uso de mecanismo de control de acceso de Apache (.htaccess).

Sin embargo si no quieres o no tienes la capacidad de configurar de forma adecuada el archivo .htaccess es recomendable actualizar de forma urgente a la version 2.8.1 que saldra de forma oficial  el 9 de julio de 2009, ya que en este momento  dicha version se encuentra en  estado RC. De esta forma  nuestro wordpress quedara parchado e inmune a este  fallo descubierto recientemente, para mas informacion pueden visitar este sitio, donde encontraran una explicacion mas a fondo sobre el funcionamiento y la explotacion de esta vulnerabilidad

No Comments