Bug crítico en WordPress 2.0.x y 2.1.x
Me comenta Armonth por msn la existencia de un bug crítico en las versiones 2.0.x y 2.1x de WordPress, por lo que se recomienda actualizar lo más rápido posible a la versión 2.2 (o 2.0.11 cuando salga) o aplicar el parche correspondiente.
WordPress 2.2 y bug de inyección SQL: soluciones: El fichero a editar es para WordPress 2.0.x el wp-includes/pluggable-functions.php, la línea 121 que corresponde a “return $userdata” (única coincidencia en el fichero), en WordPress 2.1.x es lo mismo pero el fichero se llama pluggable.php y después de esa línea se debe añadir una línea para que quede así (ver Changeset 5442):
if ( $userdata )
return $userdata;
$user_login = $wpdb->escape($user_login);
Por tanto si tenemos una versión vulnerable, un usuario malintenciado podría obtener el hash de nuestra contraseña y a partir de él sacar nuestro password. Si ésta es poco segura bastarían unos minutos para poder acceder como administrador al blog.
2 Comentarios
Añade tu Comentario
Sponsor
Buscar
Destacado
- Ahorra $50 en DreamHost
- Asides o miniblog en WP
- Koala, Opa voy hacer corral
- Tiendas online de camisetas
- Convertir videos flv a avi, mov y mp4
- Custom fields de WordPress
Categorías
Publicidad
Text Link Ads
burgales dice:
Actualizado, gracias!
Comentario — 26/5/2007
El Rincon del Basket » Fallo Crítico de Seguridad. dice:
[...] Afecta a las versiones 2.0.X y 2.1.X, por lo que se recomienda pasar a la 2.2 o corregirlo según las instrucciones de este blog: LA MATÉ POR UN YOGUR. [...]
Pingback — 26/5/2007