WordPress 1.5.1.3

Empieza a ser algo frustrante tener que actualizar el CMS cada pocas semanas, pero es lo que hay. La última vulnerabilidad de WordPress, CMS creado por un equipo de personas al que le vendría bien conocer el uso de diff, aún no se ha hecho pública pero parece ser bastante seria ya que podría permitir la ejecución remota de código por parte de usuarios malintencionados.

Si utilizais WordPress, actualizad. O en todo caso, al menos, borrar el archivo xmlrpc.php del directorio raíz.

16 comentarios en «WordPress 1.5.1.3»

  1. Y como además hayas tocado el código el fuente para corregir o ampliar el mismo… es decir, un lío las actualizaciones de todos los archivos cuando realmente quizás solo sea uno y unas pocas líneas.

  2. Yo aprendí la lección a base de actualizar tanto XD ahora absolutamente todas las modificaciones pasan al my-hacks y las actualizaciones se hacen sin pensar 😀

  3. Tambien podrías publicar tu el diff, sería buena idea, además no creo que ocupe mucho espacio en tu servidor. Saludos.

    pues también es verdad. para otra vez lo haré

  4. Yo aprendí la lección a base de actualizar tanto XD ahora absolutamente todas las modificaciones pasan al my-hacks y las actualizaciones se hacen sin pensar 😀

    siempre hay cosillas que no puedes meter en my-hacks o que es más cómodo meter en algún otro sitio

  5. No es cosa de WordPress, es un error común en muchas aplicaciones XML-RPC para PHP:

    PHP XMLRPC Bug in numerous applications

    interesante. te lo resalto que seguro que a más de uno le gusta saberlo

  6. Vuelvo a ser yo. Pues parece que va a ser que no…

    Secunia: WordPress Multiple Vulnerabilities

    1) Input passed to the «comment» and «p» parameters in «post.php» isn’t properly sanitised before being returned to the user. This can be exploited to execute arbitrary HTML and script code in an administrator’s browser session in context of an affected site.

    2) Some input passed via the XML-RPC interface isn’t properly sanitised before being used in a SQL query. This can be exploited to manipulate SQL queries by injecting arbitrary SQL code.

    3) Input passed to the «message» parameter in «wp-login.php» isn’t properly verified before it is used. This can be exploited to manipulate the message content of the mail sent via the «Forgotten Password» feature.

    Successful exploitation requires that «register_globals» is enabled.

    4) An input validation error in the administration section can be exploited to inject arbitrary PHP code into existing plugins.

  7. A los que tengáis 1.5.1.2, en Simple Thoughs hay un parche para actualizar los 5 ficheros que han cambiado (uno es el readme, como ya ha comentado Zootropo:

    xmlrpc.php
    wp-includes/version.php
    wp-includes/functions-post.php
    wp-admin/post.php
    wp-login.php

    Saludos.

  8. Pingback: Eduardo al día

  9. Hola!

    Tengo ya ganas de que salga el wordpress 1.6, creo que va a ser una mejora bastante grande (dice que para finales de mes pero que se ha retrasado por lo de wordpress.com)

    Por cierto posteo desde un nuevo navegador el Flock v0.5 , queria comprobar si mundogeek me reconoce este nuevo navegador cuando haya posteado y salga en la ventanita que navegador he usado.

    Un abrazo:mrgreen:

Responder a Tuxiradical Cancelar respuesta

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.