Neo Security Team publica una alerta de seguridad que afecta a las últimas versiones de WordPress, incluida la 2.0.1. La vulnerabilidad ha sido definida como crítica y su incidencia es múltiple, con dos principales epígrafes: Múltiple XSS en ‘post comment y Full path disclosure & Directory listing (acceso a todo el directorio).
El bug XSS afecta al archivo ‘wp-comments-post.php’, mientras que el otro estyá presente en numerosos archivos de las carpetas ‘wp-admin’ y ‘wp-includes’. A la espera de un patch o una nueva versión que cierre estos agujeros, se nos dan las siguientes soluciones:
- Para el error en XSS:
Sustituir las líneas 21-24 de ‘wp-comments-post.php’ por:
$comment_author = htmlentities(trim($_POST['author']));
$comment_author_email = htmlentities(trim($_POST['email']));
$comment_author_url = htmlentities(trim($_POST['url']));
$comment_content = htmlentities(trim($_POST['comment']));
- Para el Full path disclosure:Añadir al principio de cada archivo afectado la siguiente línea:
if (eregi ('wp-settings.php', $_SERVER['PHP_SELF']))
die ('You are not allowed to see this page directly');
Donde ‘name_of_the_file.php’ es el nombre de cada archivo en cuestión, por ejemplo ‘wp-settings.php’.
En principio, los archivos afectados por el segundo de los bugs son:
/wp-includes/default-filters.php
/wp-includes/template-loader.php
/wp-admin/edit-form-advanced.php
wp-admin/edit-form-comment.php
/wp-includes/rss-functions.php
/wp-admin/admin-functions.php
/wp-admin/edit-link-form.php
/wp-admin/edit-page-form.php
/wp-admin/adm in-footer.php
/wp-admin/menu-header.php
/wp-includ es/locale.php
/wp-admin/edit-form.php
/wp-includes /wp-db.php
/wp-includes/kses.php
/wp-includes/vars .php
/wp-admin/menu.php
/wp-settings.php
Toda la información, en Neo Security Team.
Vía: Menéame
Actualización (02 mar-18.40 h.): The Ghost nos informa en los comentarios de que Secunia se ha hecho eco de los bugs y aclara que afecta a todas las versiones de WordPress, desde la primera 0.x hasta la última 2.x.
Actualización (03 mar-10.10 h.): En idealabs aseguran que el riesgo es relativo (inexistente, según afirman), ya que sólo puede ser explotado por un admin. Algo que tampoco nos tranquiliza demasiado.
Actualización (09 mar-11.02 h): En los comentarios se explica un error de codificación que hay en los códigos que aquí se muestran. Básicamente, las comillas simples iniciales aparecen como de cierre y deben ser de apertura. De todas formas, Daboblog ha construido unos parches que te realizan el proceso de forma automática, aunque no el problema de XSS.