Peligroso bug en WordPress 2.1 y 2.0
Hay un importante bug en WordPress que puede comprometer la seguridad de cualquier blog que use esta plataforma, tanto en su versión 2.1, como en la 2.0
El bug permite que se pueda obtener fácilmente el nombre del administrador y su contraseña (aunque encriptada en hash, pero de aquí se puede sacar después en texto plano).
Posibles soluciones:
- Si se usa la versión 2.1 (como es mi caso):
- actualizarse a la versión 2.2 (la rama 2.1 no tiene continuación y no habrá una versión 2.1.4)
- modificar el fichero
wp-includes/pluggable.phpañadiendo una línea con el siguiente código justo después de la única entrada donde ponereturn $userdata;(lo podéis ver en sigt.net,aunque el titular dé lugar a confusión):
$user_login = $wpdb->escape($user_login); - Si se usa la versión 2.0:
- esperar a que salga la versión 2.0.11 (poco recomendable: el tema es bastante serio)
- hacer la misma modificación de antes, pero ahora el fichero a modificar es
wp-includes/pluggable-functions.php
Que no se diga que no se ha avisado a la gente…
¿Te ha gustado esta entrada? Ahora puedes dejar tu comentario o suscribirte al feed con tu agregador favorito.
Otras entradas que te pueden interesar
- Problemas con la plantilla 404.php y WordPress 2.5
- VMware en Debian con el kernel 2.6.21 (bug en module-init-tools)
- Problemas con WordPress 3.0 y DB Cache Reloaded
Trackbacks & Pingbacks
Comentarios
Opina aquí
Saltos de línea automáticos, la dirección de email nunca será publicada, HTML permitido: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>
gracias por el aviso, lo he puesto en portada para que la gente actualice.
salu2