Cross site scripting a través de PHP_SELF en WordPress


Se ha anunciado una vulnerabilidad en WordPress, que puede ser empleada por usuarios maliciosos para construir ataques de cross-site scripting.





WordPress es un sistema de gestión de blogs, que opera en lenguaje PHP y
con soporte de base de datos MySQL, y ofrecido a la comunidad bajo
licencia GPL. WordPress es uno de los gestores de blogs más extendido en
la blogosfera.

Las entradas pasadas a la variable "PHP_SELF" no se limpian de forma
adecuada antes de mostrarse al usuario. Esto puede emplearse para
ejecutar HTML arbitrario y código script en el navegador del usuario.

El problema se ha corregido en las versiones 2.0.10-RC2 y 2.1.3-RC2 disponibles desde:
http://wordpress.org/download/

Más información:

WordPress PHP_SELF Variable Handling XSS Vulnerability
http://www.buayacorp.com/files/wordpress/wordpress-advisory.txt

Fuente:
Laboratorio Hispasec
http://www.hispasec.com



Otras noticias de interés:

Con Windows Vista, borrar archivos no será fácil
La papelera de reciclaje no es suficiente. Microsoft agrega el soporte de versiones previas en el sistema de archivos de Windows Vista....
Mozilla corrige 30 vulnerabilidades
En sus últimas versiones (la 15 para Thunderbird y Firefox y la 2.12 para Seamonkey), la fundación Mozilla ha corregido 31 vulnerabilidades repartidas en 16 boletines para sus productos. Además, en esta versión introduce las actualizaciones sile...
El 10% de los usuarios nunca cambia sus contraseñas
Un 44% de los encuestados por Symantec afirma tener más de una veintena de cuentas que necesitan contraseñas....
Amenazas en móviles, una tendencia que crece
Desde hace un tiempo atrás, la cantidad de amenazas detectadas para los dispositivos móviles se encuentra en un aumento. Cómo muchos de ustedes sabrán, los primeros códigos maliciosos para estas plataformas vieron la luz hace ya casi una década...
Lección 17 intypedia: Datos Personales Guía de Seguridad para Usuarios
Lección 17 de la Enciclopedia de la Seguridad de la Información Intypedia con el título Datos Personales. Guía de Seguridad para Usuarios, cuya autora es Dña. María Goretti López Deltell de la Agencia de Protección de Datos de la Comunidad de...
Consejos para mejorar la privacidad en el trabajo
En los entornos laborales, la privacidad a la hora de utilizar la computadora y el acceso la red puede ser una cuestión bastante delicada, porque la forma en la cual utilizamos esos recursos podría llegar a ser hasta causal de despido. Aunque claro...
Ejecución remota de código en Winamp y Amarok
Si hace pocos días se informó de un problema de seguridad en el plugin lo que estoy escuchando para Winamp (gen_msn Winamp Plugin), ahora se ha descubierto un fallo crítico en el propio reproductor que podría permitir la ejecución de código arb...
Q.E.P.D - Dennis Ritchie, creador del lenguaje de programación C
Dennis Ritchie falleció a la edad de 70 años tras padecer una larga enfermedad en compañía de su familia. Paz a sus restos. Se ha ido otro grande de la informática....
Tremendo Paro Civico
Caramba. Esto si es llegar a ser patético. Suprimen las noticias por un tiempo por un supuesto Paro Civico Nacional y ahora, cuando este supuesto Paro no ha terminado, ya comienzan a mandar cosas. No que estaban de paro? O es que ...
Crakeada las comunicaciones de teléfonos satelitales
Investigadores de la Universidad del Ruhr, en la ciudad alemana de Bochum, han logrado descifrar con éxito los algoritmos de cifrado A5-GMR-1 y A5-GMR-2, que se utilizan en las comunicaciones de teléfonos vía satélite....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • cross
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • php_self
  • sabayon
  • scripting
  • seguridad
  • site
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • traves
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • wordpress
  • xanadu
  • xfce
  • xombra