K
Kreutzfeld
Dseda
Verificación en dos pasos activada
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
Un nueva problema de seguridad más grave desde 2009 afecta 86 por ciento de las portales con WordPress hasta la version 3.9.2.Personas mal intencionados pueden obtener el control sobre la installacion mediante comentarios manipuladas.
Una grave vulnerabilidad en la plataforma WordPress utilizado en milliones de Blogs y portales de Internet pone en peligro a sitios con WordPress de versiones 3.0 hasta 39.2.El investigador de seguridad,el finlandés Jouko Pynnonen informó,el bug permite la infiltración de código JavaScript malicioso a través de campos de comentarios. Por lo tanto, vulnerables para el llamado Cross-Site-Scripting (XSS) son las versiones 3.0 hasta 3.9.2, que actualmente presentan el 86 por ciento de las instalaciones desplegadas. Las versiones actuales de 4.0 no son vulnerables. WordPress dispone una actualización de seguridad publicado que también incluye otras arreglos.
Según Pynnonen el código inyectado inicialmente no es visible pero si un administrador desea desbloquear el comentario correspondiente,el código podría ser ejecutada con privilegios de administrador.Esto permite, por ejemplo, el cambio inadvertido la contraseña de administrador que cree una cuenta de administrador nueva o el almacenamiento de código PHP en el servidor usando el editor de plugin.Ademas el agresor podria obtener el control sobre el sistema operativo del servidor a través de una peticion de Ajax .
Estatisticas de WordPress tambien afectadas
El código no se ejecuta por una solicitud http a la página con el resumen de los comentarios.Pero el desbloqueo del comentario afecta a todos los usuarios de WordPress con los permisos adecuados. Esto es posible a través de un bug de la función de formateo wptexturize ().La funcion que permite que los caracteres inusuales en un texto pueden ser reemplazados automáticamente puede ser manipulada para la infiltracion de etiquetas HTML con atributos arbitrarios.Como una simple protección,el experto Pynnonen recomienda desactivar esta función en wp-includes /formatting.php.Sin embargo, la mejor solución es el parche de WordPress.
Las actuales actualizaciónes de seguridad según WordPress inhabilitan tres agujeros mas que pueden ser utilizados a traves de Cross-Site-Scripting.El popular plugin de WP-Statistics también se ve afectado por un problema de XSS. De acuerdo con el experto en seguridad Marc-Alexandre Montpas el plugin puede ser manipulada para configurar una nueva cuenta de administrador y introducir SEO-Spam en los mensajes. Afectados son todas las versiones de plugin hasta 8.3. Una versión parcheada 8.3.1 ya está disponible.Los detalles técnicos de los bugs se presentarán en las próximas semanas.
Fuente:Nueva vulnerabilidad pone en peligro portales con Wordpress
Una grave vulnerabilidad en la plataforma WordPress utilizado en milliones de Blogs y portales de Internet pone en peligro a sitios con WordPress de versiones 3.0 hasta 39.2.El investigador de seguridad,el finlandés Jouko Pynnonen informó,el bug permite la infiltración de código JavaScript malicioso a través de campos de comentarios. Por lo tanto, vulnerables para el llamado Cross-Site-Scripting (XSS) son las versiones 3.0 hasta 3.9.2, que actualmente presentan el 86 por ciento de las instalaciones desplegadas. Las versiones actuales de 4.0 no son vulnerables. WordPress dispone una actualización de seguridad publicado que también incluye otras arreglos.
Según Pynnonen el código inyectado inicialmente no es visible pero si un administrador desea desbloquear el comentario correspondiente,el código podría ser ejecutada con privilegios de administrador.Esto permite, por ejemplo, el cambio inadvertido la contraseña de administrador que cree una cuenta de administrador nueva o el almacenamiento de código PHP en el servidor usando el editor de plugin.Ademas el agresor podria obtener el control sobre el sistema operativo del servidor a través de una peticion de Ajax .
Estatisticas de WordPress tambien afectadas
El código no se ejecuta por una solicitud http a la página con el resumen de los comentarios.Pero el desbloqueo del comentario afecta a todos los usuarios de WordPress con los permisos adecuados. Esto es posible a través de un bug de la función de formateo wptexturize ().La funcion que permite que los caracteres inusuales en un texto pueden ser reemplazados automáticamente puede ser manipulada para la infiltracion de etiquetas HTML con atributos arbitrarios.Como una simple protección,el experto Pynnonen recomienda desactivar esta función en wp-includes /formatting.php.Sin embargo, la mejor solución es el parche de WordPress.
Las actuales actualizaciónes de seguridad según WordPress inhabilitan tres agujeros mas que pueden ser utilizados a traves de Cross-Site-Scripting.El popular plugin de WP-Statistics también se ve afectado por un problema de XSS. De acuerdo con el experto en seguridad Marc-Alexandre Montpas el plugin puede ser manipulada para configurar una nueva cuenta de administrador y introducir SEO-Spam en los mensajes. Afectados son todas las versiones de plugin hasta 8.3. Una versión parcheada 8.3.1 ya está disponible.Los detalles técnicos de los bugs se presentarán en las próximas semanas.
Fuente:Nueva vulnerabilidad pone en peligro portales con Wordpress
