Peligroso bug en WordPress 2.1 y 2.0

Hay un importante bug en WordPress que puede comprometer la seguridad de cualquier blog que use esta plataforma, tanto en su versión 2.1, como en la 2.0

El bug permite que se pueda obtener fácilmente el nombre del administrador y su contraseña (aunque encriptada en hash, pero de aquí se puede sacar después en texto plano).

Posibles soluciones:

  • Si se usa la versión 2.1 (como es mi caso):
    • actualizarse a la versión 2.2 (la rama 2.1 no tiene continuación y no habrá una versión 2.1.4)
    • modificar el fichero wp-includes/pluggable.php añadiendo una línea con el siguiente código justo después de la única entrada donde pone return $userdata; (lo podéis ver en sigt.net, aunque el titular dé lugar a confusión):

    $user_login = $wpdb->escape($user_login);

  • Si se usa la versión 2.0:
    • esperar a que salga la versión 2.0.11 (poco recomendable: el tema es bastante serio)
    • hacer la misma modificación de antes, pero ahora el fichero a modificar es wp-includes/pluggable-functions.php

Que no se diga que no se ha avisado a la gente…

Peligroso bug en WordPress 2.1 y 2.0
Valora este apunte

4 comentarios en “Peligroso bug en WordPress 2.1 y 2.0

  1. Pingback: Como actualizar a WordPress 2.2 | EGOLETRISMO
  2. Pingback: Noticia importante para usuarios de Wordpress. «

Deja un comentario