Cross site scripting a través de PHP_SELF en WordPress


Se ha anunciado una vulnerabilidad en WordPress, que puede ser empleada por usuarios maliciosos para construir ataques de cross-site scripting.





WordPress es un sistema de gestión de blogs, que opera en lenguaje PHP y
con soporte de base de datos MySQL, y ofrecido a la comunidad bajo
licencia GPL. WordPress es uno de los gestores de blogs más extendido en
la blogosfera.

Las entradas pasadas a la variable "PHP_SELF" no se limpian de forma
adecuada antes de mostrarse al usuario. Esto puede emplearse para
ejecutar HTML arbitrario y código script en el navegador del usuario.

El problema se ha corregido en las versiones 2.0.10-RC2 y 2.1.3-RC2 disponibles desde:
http://wordpress.org/download/

Más información:

WordPress PHP_SELF Variable Handling XSS Vulnerability
http://www.buayacorp.com/files/wordpress/wordpress-advisory.txt

Fuente:
Laboratorio Hispasec
http://www.hispasec.com



Otras noticias de interés:

Un parche de Firefox publicado en diciembre empeora una vulnerabilidad
Mozilla ha publicado, en un anuncio descolgado del resto, que la última versión 2.0.0.2 del navegador Firefox también corrige una vulnerabilidad introducida por un parche anterior. El parche, publicado en diciembre, no sólo no corregía el ...
Buenas prácticas para la protección en la nube
El crecimiento exponencial de los servicios basados en cloud computing también arroja algunos riesgos que las compañías deben evitar para mantener sus datos e identidades a salvo....
Los piratas informáticos se sirven del motor de Google
Según un estudio realizado por Symantec, entre marzo y abril, una media de tres de cada diez búsquedas realizadas con el motor de Google contenían al menos una URL maliciosa entre los primeros 70 resultados....
Rastreo de correo electrónico
Había algo sospechoso en las actividades del empleado. Los análisis de nodos de la red informática y del registro del correo electrónico mostraban que todos los días a las 5 p.m. enviaba una foto a una cuenta de Hotmail. Las fotos del perro de l...
Microsoft lo admite: No hemos seguido los estándares Web
Los estándares son importantes, admitió Frank Arrigo, añadiendo que si observamos IE6, en realidad no seguimos todos los estándares, pero son importantes... IE7 es un ejemplo de que estamos tratando de resolver el problema. ...
La mayor amenaza a la seguridad son los usuarios
Una de las mayores vulnerabilidades de seguridad en computadoras y redes, es el propio usuario. ...
Disponible Cotejo #06
Disponible para su lectura y descarga el número 6 de nuestra eZine Cotejo de VaSlibre, la revista digital referente al Software Libre (GNU/Linux). Disfrutenla!. Estan invitados a enviar sus artículos para la edición especial del mes de diciembre....
7 años después, ya tenemos parche para SMB
Una de las vulnerabilidades más veteranas de la historia de la informática ya tiene por fin solución. Microsoft ha corregido por fin un defecto de diseño en su servicio SMB (Server Message Block), que los linuxeros conocen bien por el nombre de s...
Ciberdelincuentes ofrecen ahora gestión y mantenimiento de paquetes de hacking
El mundo de la ciberdelincuencia se coloca a la altura del desarrollo tecnológico y ofrece delitos como servicio o bajo demanda en la nube. ...
Vulnerabilidad en IE al usar cualquier objeto COM
Según una alerta publicada por el US-CERT, Microsoft Internet Explorer (IE), puede intentar utilizar objetos COM que no están destinados para ser empleados en el navegador. Esto puede provocar una variedad de comportamientos no deseados en ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • cross
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • php_self
  • sabayon
  • scripting
  • seguridad
  • site
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • traves
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • wordpress
  • xanadu
  • xfce
  • xombra