Octubre 18, 2007 Off

Vulnerabilidad en blogroll de Wordpress

Categoría: Blogs, Seguridad, Wordpress

Se ha hecho pública una vulnerabilidad en el blogroll de Wordpress, más precisamente en el archivo "/wp-admin/link.php", que es el encargado de insertar los enlaces en la base de datos del CMS.

La falla permite a un usuario común agregar enlaces dentro del blogroll, en otras palabras el sueño de todo spammer de enlaces :) , asi que corrijan dicho archivo si no quieren ver su web plagada de enlaces hacia sitios de venta de medicamentos falsos y demás.

Versiones afectadas:
2.3 y anteriores

Solución:

Dentro del archivo "/wp-admin/link.php", buscar la línea que comienza con wp_reset_vars y a continuación de la misma agregar el siguiente código:

if ( ! current_user_can('manage_links') ) wp_die( __('You do not have sufficient permissions to edit the links for this blog.') );

Enlace relacionado:
http://blogsecurity.net/wordpress/first-wp-23-dexter-vulnerability/

Los comentarios estan cerrados.

Comentarios adicionales gracias a BackType