jackl007
Eta
Programador
Verificación en dos pasos activada
Corregidas 3 vulnerabilidades en Wordpress: 3.1.1
como sabrán yo leo de seguridad informática, hoy en el boletin me llegó este email:
ahora si a actualizar la version de wordpress.
Mas info: WordPress › WordPress 3.1.1
Enlace eliminado
como sabrán yo leo de seguridad informática, hoy en el boletin me llegó este email:
Insertar CODE, HTML o PHP:
Corregidas 3 vulnerabilidades en Wordpress
------------------------------------------
Ya está disponible la nueva versión de Wordpress 3.1.1 que corrige
aproximadamente 30 fallos entre los que se incluyen 3 vulnerabilidades
descubiertas por los desarrolladores Jon Cave y Peter Westwood.
Wordpress es un sistema de gestión de contenidos enfocado a la creación
de blogs desarrollado en PHP y MySQL, ampliamente usado en la comunidad
de bloggers debido a su facilidad de uso y sus características como
gestor de contenidos.
Una de las vulnerabilidades corregidas permitía a un atacante remoto el
secuestro de la sesión de autenticación al forzar al navegador de los
usuarios autenticados a realizar acciones no autorizadas al visitar una
página web especialmente manipulada.
Esta vulnerabilidad, localizada en el componente 'media uploader'
permitía evadir la protección contra cross-site request forgery (CSRF).
Ha sido corregida mediante la asociación de códigos únicos en las
peticiones.
La segunda de las vulnerabilidades corregidas era un cross-site
scripting (XSS) localizado en el código encargado de las actualizaciones
de la base de datos.
Esta vulnerabilidad se debe a la insuficiente validación de los
parámetros de entrada y podría ser empleada, en el peor de los casos,
para generar páginas web especialmente manipuladas permitiendo la
ejecución de código HTML o JavaScript en el contexto de otro sitio
web.
Estas dos primeras vulnerabilidades fueron descubiertas y notificadas
por Jon Cave, quien a su vez es miembro activo del equipo de seguridad
de Wordpress.
La tercera y última vulnerabilidad, descubierta por Peter Westwood,
permitía causar una denegación de servicio a través del uso de enlaces
especialmente manipulados en los comentarios. El fallo en este caso,
reside en la función 'make_clickable' del fichero
'wp-includes/formatting.php' al no comprobar la longitud de la URL
en los comentarios antes de ser procesada por la libreria PCRE.
Junto con estas 3 vulnerabilidades, la nueva versión de Wordpress
corrige a su vez 26 fallos entre los que cabría destacar el soporte con
IIS6, permalinks relacionados con PATHINFO, así como varios problemas de
compatibilidad con ciertos plugins.
Se recomienda la actualización a esta nueva versión de Wordpress, bien
desde Dashboard -> updates o bien descargándola y realizando la
actualización a mano.ahora si a actualizar la version de wordpress.
Mas info: WordPress › WordPress 3.1.1
Enlace eliminado
