Peligroso bug en Wordpress 2.1 y 2.0

Hay un importante bug en Wordpress que puede comprometer la seguridad de cualquier blog que use esta plataforma, tanto en su versión 2.1, como en la 2.0

El bug permite que se pueda obtener fácilmente el nombre del administrador y su contraseña (aunque encriptada en hash, pero de aquí se puede sacar después en texto plano).

Posibles soluciones:

• Si se usa la versión 2.1 (como es mi caso):
  • actualizarse a la versión 2.2 (la rama 2.1 no tiene continuación y no habrá una versión 2.1.4)
  • modificar el fichero wp-includes/pluggable.php añadiendo una línea con el siguiente código justo después de la única entrada donde pone return $userdata; (lo podéis ver en sigt.net, aunque el titular dé lugar a confusión):

  $user_login = $wpdb->escape($user_login);

• Si se usa la versión 2.0:
  • esperar a que salga la versión 2.0.11 (poco recomendable: el tema es bastante serio)
  • hacer la misma modificación de antes, pero ahora el fichero a modificar es wp-includes/pluggable-functions.php

Que no se diga que no se ha avisado a la gente…

Compártelo:

¿Te ha gustado esta entrada? Ahora puedes dejar tu comentario o suscribirte al feed con tu agregador favorito. Si no dispones de un lector de feeds, siempre puedes recibir estos artículos en tu dirección de email.

Otras entradas que te pueden interesar

• Problemas con la plantilla 404.php y Wordpress 2.5
• Subsanado el problema de incompatibilidad de los plugins “Google Sitemaps Generator” y “Popularity Contest”
• Contar por separado comentarios y trackbacks/pingbacks en Wordpress