Fallo crítico en Wordpress

Wordpress 1.x presenta una seria vulnerabilidad que permite la inyección de código PHP arbitrario. El fallo radica en el incorrecto manejo de las entradas realizadas por cookies mediante el parámetro cache_lastpostdate,
siempre que register_globals esté activado.

Solución:
Por el momento lo que se da como solución en el foro de Wordpress, es de apagar el register_globals. Para apagarlo, hay que añadir al archivo .htaccess la siguiente linea, siempre y cuando el servidor soporte php flags:
php_flag register_globals off

[original Advisory]

Saludos
The Ghost

Comparte el artículo

Leer más: Wordpress |
Por The Ghost ha escrito este artículo el 08.11.2005 a las 11:29 am .

2 Comments

corsaria

Posted August 12, 2005 at 9:00 am | Permalink

Pues a tener cuidado con eso. A medida que WP se difunde más y más surgen estas cosas.
Angelus

Posted August 13, 2005 at 4:07 pm | Permalink

Es algo de esperarse, de momentoe stamos esperando la nueva versión, fíjate que en bitacoras.com han colocado otro fix, para depurar el tratamiento de esta variable.:cool_tb:

Additional comments powered by BackType

El Weblog
Administración
Ingredientes
Velocidad
Horario

Licencia Creative Commons 2007 By-Nc-Sa — Esta licencia permite copiar, distribuir y comunicar públicamente la obra (este blog) y hacer obras derivadas, bajo las siguientes condiciones: 1. Debe reconocer los créditos de la obra de la manera especificada por el autor o el licenciador (pero no de una manera que sugiera que tiene su apoyo o apoyan el uso que hace de su obra), 2. No puede utilizar esta obra para fines comerciales. 3. Si altera o transforma esta obra, o genera una obra derivada, sólo puede distribuir la obra generada bajo una licencia idéntica a ésta.