Cross site scripting a través de get_file_description en WordPress 2.0.5


Se ha anunciado una vulnerabilidad en WordPress, que podría emplearse para provocar ataques de cross site scripting.





WordPress es un sistema de gestión de blogs, que opera en lenguaje PHP
y con soporte de base de datos MySQL, y ofrecido a la comunidad bajo
licencia GPL. WordPress es uno de los gestores de blogs más extendido
en la blogosfera.

El problema se debe a un error de validación de entradas en la función
"get_file_description()" cuando se llama a través del script
"wp-admin/templates.php", lo que podría ser empleado para ejecutar
código script arbitrario en el navegador del usuario bajo el contexto
de seguridad del sitio web afectado.

El problema será corregido en la versión 2.0.6 de WordPress, pero se ha
publicado una actualización para la versión 2.0.5 disponible por CVS:
http://trac.wordpress.org/changeset/4665

Más información:

WordPress "get_file_description()" Function Client-Side Cross Site Scripting Vulnerability
http://www.frsirt.com/english/advisories/2006/5191

WordPress Persistent XSS
http://michaeldaw.org/md-hacks/wordpress-persistent-xss/

Fuente:
Laboratorio Hispasec
hispasec.com



Otras noticias de interés:

Video falso en Facebook, en este van a caer varios! (malware)
Facebook, una imagen atractiva y un supuesto video, es el nuevo cóctel malicioso que los ciberdelincuentes están utilizando para propagar sus malwares. El correo, por ahora detectado sólo en inglés, simula ser la notificación de un mensaje que n...
Rechazan apelación de Microsoft sobre patente de FAT
Una vez más, la Oficina Estadounidense de Patentes y Marcas ha rechazado la solicitud de Microsoft de patentar FAT. Sin embargo, los círculos de desarrolladores de Linux aún no pueden cantar victoria. ...
IBM crea tecnología para hacer cálculos con datos encriptados
IBM ha dado a conocer que uno de sus investigadores ha hecho posible que los ordenadores puedan hacer cálculos con datos encriptados sin necesidad de descifrarlos....
¿Cuánto vale tu identidad digital?
El negocio generado por los datos personales y la identidad digital en Europa será de 330.000 millones de euros en 2020, el 8% del PIB de la región....
Seguridad en protocolos de enrutamiento dinámico
Interesante artículo de la gente de blog.s21sec.com sobre la seguridad de enrutamiento dinámico. A continuación texto completo:...
Estudio sobre el adware Virtumonde
ESET ha realizado un nuevo análisis técnico; esta vez acerca del Virtumonde, un adware con capacidades de spyware que este año tuvo altísimos niveles de propagación, ocupando las primeras posiciones del ranking de detecciones generado por Threat...
Los internautas venezolanos navegan cada vez más a pesar de crisis
Los internautas venezolanos se han visto obligados a sortear obstáculos para encontrar la forma de mantenerse conectados a Internet, a pesar de la aguda crisis económica que atraviesa el país sudamericano. ...
Los PDF se abrirán en una sandbox con Adobe Reader
Una buena noticia para los usuarios de Adobe Reader, el popular lector de archivos PDF que generalmente está en la mira de los ciberdelincuentes....
Seguridad en plataformas Java y .NET
Las plataformas Java, de SUN Microsystems y .NET de Microsoft no son más que unos lenguajes de programación basados en la potencia de las redes y en la idea de que el mismo software debe funcionar en varias plataformas. Los dos sistemas se fundamen...
El BYOD y el trabajo
Una de las tendencias que las nuevas tecnologías han generado espontáneamente en relación al trabajo es la llamada BYOD (bring your own device o trae tu propio dispositivo). Se trata de que los empleados utilicen para el trabajo los terminales que...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • cross
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • get_file_description
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • scripting
  • seguridad
  • site
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • traves
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • wordpress
  • xanadu
  • xfce
  • xombra