WordPress 1.5.1.3

Empieza a ser algo frustrante tener que actualizar el CMS cada pocas semanas, pero es lo que hay. La última vulnerabilidad de WordPress, CMS creado por un equipo de personas al que le vendría bien conocer el uso de diff, aún no se ha hecho pública pero parece ser bastante seria ya que podría permitir la ejecución remota de código por parte de usuarios malintencionados.

Si utilizais WordPress, actualizad. O en todo caso, al menos, borrar el archivo xmlrpc.php del directorio raíz.

Comentarios
  1. Anónimo

    Y como además hayas tocado el código el fuente para corregir o ampliar el mismo… es decir, un lío las actualizaciones de todos los archivos cuando realmente quizás solo sea uno y unas pocas líneas.

    Responder

  2. solo han modificado 3 o 4 archivos (no demasiado) y teniendo en cuenta que uno era el readme… 😛

    Responder

  3. navegante

    Tambien podrías publicar tu el diff, sería buena idea, además no creo que ocupe mucho espacio en tu servidor. Saludos.

    Responder

  4. Yo aprendí la lección a base de actualizar tanto XD ahora absolutamente todas las modificaciones pasan al my-hacks y las actualizaciones se hacen sin pensar 😀

    Responder

  5. No es cosa de WordPress, es un error común en muchas aplicaciones XML-RPC para PHP:

    PHP XMLRPC Bug in numerous applications

    Responder

  6. Tambien podrías publicar tu el diff, sería buena idea, además no creo que ocupe mucho espacio en tu servidor. Saludos.

    pues también es verdad. para otra vez lo haré

    Responder

  7. Yo aprendí la lección a base de actualizar tanto XD ahora absolutamente todas las modificaciones pasan al my-hacks y las actualizaciones se hacen sin pensar 😀

    siempre hay cosillas que no puedes meter en my-hacks o que es más cómodo meter en algún otro sitio

    Responder

  8. No es cosa de WordPress, es un error común en muchas aplicaciones XML-RPC para PHP:

    PHP XMLRPC Bug in numerous applications

    interesante. te lo resalto que seguro que a más de uno le gusta saberlo

    Responder

  9. Vuelvo a ser yo. Pues parece que va a ser que no…

    Secunia: WordPress Multiple Vulnerabilities

    1) Input passed to the “comment” and “p” parameters in “post.php” isn’t properly sanitised before being returned to the user. This can be exploited to execute arbitrary HTML and script code in an administrator’s browser session in context of an affected site.

    2) Some input passed via the XML-RPC interface isn’t properly sanitised before being used in a SQL query. This can be exploited to manipulate SQL queries by injecting arbitrary SQL code.

    3) Input passed to the “message” parameter in “wp-login.php” isn’t properly verified before it is used. This can be exploited to manipulate the message content of the mail sent via the “Forgotten Password” feature.

    Successful exploitation requires that “register_globals” is enabled.

    4) An input validation error in the administration section can be exploited to inject arbitrary PHP code into existing plugins.

    Responder

  10. Si, la verdad es que da bastante por saco que haya que actualizar cada poco tiempo, por que últimamente llevamos un racha…

    Responder

  11. O cambiais CMS o no actualizais, no hay mas alternativas 😀
    Yo prefiero actualizar :P, no cuesta tanto.

    Responder

  12. A los que tengáis 1.5.1.2, en Simple Thoughs hay un parche para actualizar los 5 ficheros que han cambiado (uno es el readme, como ya ha comentado Zootropo:

    xmlrpc.php
    wp-includes/version.php
    wp-includes/functions-post.php
    wp-admin/post.php
    wp-login.php

    Saludos.

    Responder

  13. WordPress 1.5.1.3

    Para los que no han revisado en Dashboard, les aviso que ahora esta disponible otro upgrade menor de WordPress, la versión 1.5.1.3. Este upgrade viene a corregir un problema de seguridad en el archivo xmlrpc.php que permite la injección de codigo con…

    Responder

  14. Zootropo, siempre puedes usar uno de nuestros CMS 🙂 (Tienes el mio, el de Toad, y muchos mas que tambien se distribuyen).

    Responder

  15. Lo que deberíais hacer es darle una oportunidad a textpattern 💡

    Responder

  16. Hola!

    Tengo ya ganas de que salga el wordpress 1.6, creo que va a ser una mejora bastante grande (dice que para finales de mes pero que se ha retrasado por lo de wordpress.com)

    Por cierto posteo desde un nuevo navegador el Flock v0.5 , queria comprobar si mundogeek me reconoce este nuevo navegador cuando haya posteado y salga en la ventanita que navegador he usado.

    Un abrazo:mrgreen:

    Responder

Deja un comentario