WordPress vulnerable a denegación de servicio (DoS)

Escrito el 18 octubre 2009, 03:09pm en Seguridad ,Wordpress

Tagged with: , , ,

WordpressJose Carlos Norte hace publico en su blog Desvaríos informáticos, un error en el archivo wp-trackback.php de WordPress que le permitiria a un atacante malicioso realizar una denegación de servicio a un blog determinado corriendo bajo este sistema.

Hasta la fecha no hay parche oficial por lo que se recomienda aplicar manualmente la solución propuesta por Jose actualizar a la versión 2.8.5.

  1. Abrir el archivo wp-trackback.php
  2. Buscar la línea número 45 aproximadamente en donde dice:
    $charset = $_POST['charset'];
  3. Reemplazarla por el siguiente código:
    $charset = str_replace(",","",$_POST['charset']);
    if(is_array($charset)) { exit; }
  4. Guardar el archivo, y ya con eso deberíamos estar a salvo por ahora.

Aclaración, no sirve de nada desactivar los trackbacks desde WordPress, debido a que el error se encuentra antes de realizarse esa comprobación.

Actualicen, no sean vagos que el exploit ya ha sido publicado y es vulnerable la última versión (2.8.4) inclusive.

Los comentarios están cerrados para este artículo.