Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
24/04/2012
S’ha informat de diverses vulnerabilitats en WordPress que podrien ser aprofitades per usuaris maliciosos per a botar-se determinades restriccions de seguretat i per atacants maliciosos per a realitzar atacs d’inserció de codi i de XSS.
1) Un error quan es realitzen determinades accions en plugins de xarxa podrien ser aprofitats per administradors del lloc web per a deshabilitar un connector de xarxa.
2) Una certa informació d’entrada passada a través de redirecciones després de pujar comentaris i a través del filtrat d’URL no se saneja correctament abans de ser tornada a l’usuari. Això podria ser aprofitat per a executar codi HTML i script en la sessió del navegador de l’usuari, dins del lloc afectat.
3) Determinada informació passada a través d’URL en atributs no se saneja correctament abans de ser utilitzada per a crear els enllaços. Això podria ser aprofitada per a inserir codi HTML i script, que serà executat en la sessió del navegador de l’usuari dins del lloc web afectat si es mostra el codi maliciós.
Estes vulnerabilitats afecten versions anteriors a la 3.3.2.
Sistemes Afectats:WordPress 3.x.
WordPress Download Manager Plugin 2.2.x
None
Solució:Actualitzeu a WordPress 3.3.2 i WP Download Mànager Plugin 2.2.3.
Notes:http://wordpress.org/news/2012/04/wordpress-3-3-2/
WordPress Download Manager.
http://wordpress.org/extend/plugins/download-manager/changelog/