Foros del Web » Creando para Internet » Sistemas de gestión de contenidos » WordPress »

Falla de seguridad en WP 2.8.3

Estas en el tema de Falla de seguridad en WP 2.8.3 en el foro de WordPress en Foros del Web. Lo que sucede, es que se trata de una nueva vulnerabilidad de Wordpress que afecta incluso hasta la última versión disponible hasta el día de ...
  #1 (permalink)  
Antiguo 11/08/2009, 20:28
 
Fecha de Ingreso: enero-2008
Ubicación: Argentina - la plata
Mensajes: 793
Antigüedad: 16 años, 10 meses
Puntos: 21
Exclamación Falla de seguridad en WP 2.8.3

Lo que sucede, es que se trata de una nueva vulnerabilidad de Wordpress que afecta incluso hasta la última versión disponible hasta el día de hoy (la 2.8.3).

Todos pueden resetear una contraseña de cualquier blog en Wordpress, sin necesidad de conocer ni el nombre de usuario, ni el correo electrónico asociado a la cuenta!

Basta que pongan lo siguiente en la barra de direcciones: nombrededominio.com/wp-login.php?action=***key[]=

( edite 3 caracteres por si hay algún malandrin dando vueltas... )

Esto, reseteará el password de las cuentas asociadas en Wordpress, sin pedir ninguna confirmación.

Si bien no es una manera de ganar acceso al blog, este exploit permite que cualquier persona simplemente deshabilite las cuentas de los usuarios en Wordpress,

De momento, incluso la versión 2.8.3 –la más reciente- ya se ve la actualización a 2.8.4 en algunos tableros

Para solucionarlo de manera temporal, tenemos que abrir los archivos de configuración de Wordpress en nuestro servidor, ubicar wp-login.php, dirigirnos a la línea 190 y cambiar

if ( empty( $key ) )

Por

if ( empty( $key ) || is_array( $key ) )
__________________
negocios, dinero y franquicias
  #2 (permalink)  
Antiguo 11/08/2009, 20:48
Avatar de Nekko
Colaborador
 
Fecha de Ingreso: marzo-2008
Ubicación: Buenos Aires
Mensajes: 3.141
Antigüedad: 16 años, 8 meses
Puntos: 656
Respuesta: Falla de seguridad en WP 2.8.3

Grande Data! Leí en Ayudawordpress que supuestamente afecta a los que tienen WordPress MU, es asi? (te pregunto porque creo que vos tenías!).

Subieron un archivo ya modificado para parchear (y creo que con un par de mejoras mas) acá:
http://core.trac.wordpress.org/chang...=zip&new=11798
__________________
Taller para crear themes wordpress desde cero | Presupuestos para trabajos particulares vía MP
  #3 (permalink)  
Antiguo 12/08/2009, 00:58
Avatar de metacortex
Viejo demente
 
Fecha de Ingreso: junio-2004
Ubicación: Caracas - Venezuela
Mensajes: 9.027
Antigüedad: 20 años, 6 meses
Puntos: 832
Respuesta: Falla de seguridad en WP 2.8.3

En realidad el cambio fue éste (entre otros):

Código PHP:
if ( empty( $key ) || !is_string$key ) )
    return new 
WP_Error('invalid_key'__('Invalid key'));

// y esto se agregó
if ( empty($login) || !is_string($login) )
    return new 
WP_Error('invalid_key'__('Invalid key')); 
Mejor si se actualiza a la última versión.

Documentación de la vulnerabilidad: http://seclists.org/fulldisclosure/2009/Aug/0113.html
  #4 (permalink)  
Antiguo 12/08/2009, 05:54
 
Fecha de Ingreso: enero-2008
Ubicación: Argentina - la plata
Mensajes: 793
Antigüedad: 16 años, 10 meses
Puntos: 21
Respuesta: Falla de seguridad en WP 2.8.3

Si por supuesto que lo mejor es actualizar a la ultima version... era una solución temporal nada mas...
__________________
negocios, dinero y franquicias
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 17:40.