Contenido

Bugs críticos en WordPress

1 Mar

+ 3

Via Mangas Verdes, leo que han encontrado una serie de vulnerabilidades para WordPress, algo bastante común en software usado por mucha gente,  veasé Ms. Windows. El problema de estos bugs, son que mediante la inyección de código pueden obtener datos o acceder al directorio donde tienes tus ficheros.

Cito de Mangas Verdes las soluciones obtenidas de NeoSecurityTeam.

– Para el error en XSS:

Sustituir las líneas 21-24 de ‘wp-comments-post.php’ por:

$comment_author = htmlentities(trim($_POST[’author’]));
$comment_author_email = htmlentities(trim($_POST[’email’]));
$comment_author_url = htmlentities(trim($_POST[’url’]));
$comment_content = htmlentities(trim($_POST[’comment’]));

– Para el Full path disclosure:

Añadir al principio de cada archivo afectado la siguiente línea:

if (eregi(’name_of_the_file.php’, $_SERVER[’PHP_SELF’]))
die(’You are not allowed to see this page directly’);

En principio, los archivos afectados por el segundo de los bugs son:

/wp-includes/default-filters.php
/wp-includes/template-loader.php
/wp-includes/rss-functions.php
/wp-includes/locale.php
/wp-includes /wp-db.php
/wp-includes/kses.php
/wp-includes/vars .php
/wp-admin/edit-form-advanced.php
/wp-admin/edit-form-comment.php
/wp-admin/admin-functions.php
/wp-admin/edit-link-form.php
/wp-admin/edit-page-form.php
/wp-admin/adm in-footer.php
/wp-admin/menu-header.php
/wp-admin/edit-form.php
/wp-admin/menu.php
/wp-settings.php

wordpress, bug, solutions

Comentar

#

Me reservo el derecho de eliminar y/o modificar los comentarios que contengan lenguaje inapropiado, spam u otras conductas no apropiadas en una comunidad civilizada. Si tu comentario no aparece, puede ser que akismet lo haya capturado, cada día lo reviso y lo coloco en su lugar. Siento las molestias.