Via Mangas Verdes, leo que han encontrado una serie de vulnerabilidades para WordPress, algo bastante común en software usado por mucha gente, veasé Ms. Windows. El problema de estos bugs, son que mediante la inyección de código pueden obtener datos o acceder al directorio donde tienes tus ficheros.
Cito de Mangas Verdes las soluciones obtenidas de NeoSecurityTeam.
– Para el error en XSS:
Sustituir las líneas 21-24 de ‘wp-comments-post.php’ por:
$comment_author = htmlentities(trim($_POST[’author’]));
$comment_author_email = htmlentities(trim($_POST[’email’]));
$comment_author_url = htmlentities(trim($_POST[’url’]));
$comment_content = htmlentities(trim($_POST[’comment’]));
– Para el Full path disclosure:Añadir al principio de cada archivo afectado la siguiente línea:
if (eregi(’name_of_the_file.php’, $_SERVER[’PHP_SELF’]))
die(’You are not allowed to see this page directly’);
En principio, los archivos afectados por el segundo de los bugs son:
/wp-includes/default-filters.php
/wp-includes/template-loader.php
/wp-includes/rss-functions.php
/wp-includes/locale.php
/wp-includes /wp-db.php
/wp-includes/kses.php
/wp-includes/vars .php
/wp-admin/edit-form-advanced.php
/wp-admin/edit-form-comment.php
/wp-admin/admin-functions.php
/wp-admin/edit-link-form.php
/wp-admin/edit-page-form.php
/wp-admin/adm in-footer.php
/wp-admin/menu-header.php
/wp-admin/edit-form.php
/wp-admin/menu.php
/wp-settings.php
2 comentarios, 1 referencias
+
#