El francés Laurent Gaffié ha descubierto una vulnerabilidad que afecta a la rama de versiones 2.8.x de Wordpress, incluyendo obviamente hasta la última publicada (2.8.3). El error se encuentra en el archivo wp-login.php, y el mismo podría ser aprovechado por un atacante de forma remota llegando a bloquear temporalmente la cuenta del administrador, impidiendo así el acceso de forma correcta a la administración del blog.
Para los que no estén familiarizados con esta plataforma, cuando un usuario solicita una nueva clave se le envía a su correo (el que uso al crear la cuenta) un enlace para confirmar el proceso, luego de eso le llega a uno la nueva contraseña. Según el reporte, debido a este error bastaría con ingresar cierta URL desde cualquier navegador para lograr que Wordpress reinicie la clave del administrador sin autorización previa del mismo, o sea salteando el paso de la confirmación vía correo.
No hay parche oficial hasta el momento, Si lo hay 
. Se ha corregido la vulnerabilidad en la versión de desarrollo, por lo que se les aconseja actualizar el archivo wp-login.php, ya sea manualmente o descargándose la versión actualizada.
Actualización manual:
- Abrir el archivo wp-login.php
- Buscar el texto:
if ( empty( $key ) )
- Reemplazarlo por el siguiente código:
if ( empty( $key ) || is_array( $key ) )
- Guardar y listo.
Vía: http://core.trac.wordpress.org/changeset/11798
Versión corregida de wp-login.php:
http://core.trac.wordpress.org/changeset/11798?format=zip&new=11798
Si bien el impacto de esta vulnerabilidad es de nivel medio, se recomienda actualizar de todas formas.
Actualización: Ya esta disponible para la descarga una actualización de seguridad, lo cual deja la version 2.8.4 como la ultima segura hasta la fecha.
http://wordpress.org/development/2009/08/2-8-4-security-release/
Tags: 2.8.4, 2.8.x, vulnerabilidades, Wordpress
WTF, ya mismo arreglo eso en el mio
Gracias tocayo
Groso martincho! gracias!!
Relee los comentarios, que ya se comentó que también afecta a usuarios administradores que no sean “admin”. Y no, no afecta a la rama 2.7.x
This comment was originally posted on Ayuda WordPress
Listo el hack aplicado al archivo no me funciono, nose porque, yo solo copie y pegue.
Pero bajando el archivo desde http://core.trac.wordpress.org/changeset/11798?format=zip&new=11798 (Paciencia que media blogocosa esta intentando hacerlo) ya no me resetea el password
This comment was originally posted on Ayuda WordPress
A mi me bajó rápido el fichero de sustitución. En un blog he recibido el aviso de cambio de clave pero lo he recibido yo afortunadamente, y ya he aplicado el cambio de fichero.
This comment was originally posted on Ayuda WordPress
Muchas gracias! Comprobado que eso arregla el agujero de seguridad. Estoy actualizando mis sitios y a seguir propagando esta info. Grande Martín aportando la solución!
This comment was originally posted on Ayuda WordPress
@Fernando Tellado…
No es que la solucion que veo todos estan usando no sea segura, pero se han aumentado los cambios (se ha vuelto mas estricta en esta parte para no solo mitigar el caso de los arreglos cualquier otro), asi que deberian aplicar los cambios 11800 y 11804… ya he dejado en mi comentario anterior como bajar el archivo con los cambios necesarios (asi como ya he posteado informacion al respecto en mi blog) para así solo reemplazar con el actual y parcheado segun el equipo de wordpress (mas bien segun ryan).
Saludos
This comment was originally posted on Ayuda WordPress
Como siempre, gracias, ya actualizé mis blogs al 2.8.4, pero si utilizo /wp-login.php?action=lostpassword ;
me sigue apareciendo el recuadro para poner mi nombre de usuario y mail.
¿hay algun modo de evitarlo?
Lo que si: http://DOMAIN_NAME.TLD/wp-login.php?action=rp&key= me da una respuesta de “invalid key”
Bueno esto parece que nos ha puesto a trabajar y actualizarnos bastante más pronto de lo usual.
Saludos
Diana
This comment was originally posted on Ayuda WordPress
Gracias por la aclaración
Afortunadamente ya está disponible la 2.8.4
This comment was originally posted on Ayuda WordPress
con el update 2.8.4 la línea 190 dice:
if ( empty( $key ) || !is_string( $key ) )
¿es lo mismo?
Saludos, Dot
This comment was originally posted on Dotpod
Sí, soluciona también el problema. Saludos!
This comment was originally posted on Dotpod
Hola, muy buena la info.
Me llamó la atención que usaras el termino “indeseables” que usaba yo hace años en mi sitio Seguridad en Internet 2.0, alguna relación?
Muy bueno el blog
Saludos!
This comment was originally posted on Ayuda WordPress