Geek the Planet


Seguridad no image

Published on agosto 3rd, 2007 | by Angelfire

0

Problemas de seguridad en WordPress

Leyendo en buayacorp me doy cuenta de estos “nuevos” problemas de seguridad:

  1. WordPress Persistant XSS Vulnerability in the Default Theme (v.2.2): Los parámetros para la imagen y color de la cabecera en el tema por omisión de WordPress (Kubrick) son vulnerables. Aunque no lo probé, me parece que es parecido al que reporté hace tiempo.
  2. WordPress /options.php SQL Injection Vulnerability: El parámetro page_options no está correctamente validado en wp-admin/options.php. Sólo los usuarios con nivel Administrador pueden explotar esta vulnerabilidad.
  3. WordPress /options.php Information Disclosure: Esta vulnerabilidad se deriva de la anterior, porque en wp-admin/options.php se asume que el nombre de las opciones son seguras.
  4. WordPress /options.php Persistant XSS Vulnerability.
  5. WordPress /edit-comments.php Database Error (Bug): Simplemente muestra un error en la consulta si el valor de la página es negativo.
  6. WordPress /link-import.php XSS Vulnerability: El parámetro cat_id no es filtrado adecuadamente, para explotarlo requiere tener un valor adecuado para el parámetro _wpnonce.
  7. WordPress /upload.php XSS Vulnerability: En este caso el parámetro style es inseguro.

La misma persona que reportó y estudio estos 7 bugs se encargó de hacer un XSS WORM (gusano).

En esta página encontrarán cada una de las vulnerabilidad explicadas debidamente.
En esta otra pueden encontrar la descripción paso a paso como funciona el gusano.

Y lo más importante, el parche no oficial para wordpress 2.2.1.


About the Author

Systems Engineering, Computer Systems Specialist, Social Engineering Specialist. Social Media Analyzer. Usability and SEO enthusiasm (Este es mi perfil de Twitter...)



Comments are closed.

Back to Top ↑