Aunque en el anuncio oficial no se mencione muy claramente, esta versión trae importantes cambios.
- La vulnerabilidad SA44409 fue corregida por el changeset 18014. Esto autorizaba a subir archivos que permitían la ejecución de código php, siempre y cuando la configuración de Apache permita aceptar múltiples extensiones. Esto es una variante de un falla anterior.
- El changeset 18018 corrige uno de los varios problemas que reporté, en principio permitía al igual que el anterior, la ejecución de código php, con la diferencia de que no es necesario ningún tipo de configuración en especial. Tal vez dentro de un tiempo llegue a publicar el exploit que hice. También corrige fallas que permitían realizar ataques XSS.
- El changeset 18019 corrige problemas que permiten realizar ataques XSS.
- El changeset 18023 está relacionado con un problema relacionado a la privacidad de los backups de wordpress.
Más adelante probablemente vaya comentando más en detalle los cambios realizados y una que otra mejora que se introdujo luego de una serie de discusiones.
7 replies on “WordPress < 3.1.3: Multiples vulnerabilidades”
[...] Security Response Center, hay arreglos de seguridad en esta versión hechos desde Perú por Alexander Concha y desde Argentina por Verónica Valeros 🙂 Otros posts que pueden interesarte:Actualización [...]
Qué bueno volver a leerte Alex y metido en estos temas, ya te he leído en "los créditos", un abrazo !
[...] Vía: buayacorp. [...]
[...] und bringt kleine Erneuerungen und viele Sicherheitsfixes. Behoben wurden: Sicherheitsfixes die von Alexander Concha endeckt wurden, Verhindern des Sniffens von Benutzername von nicht Autoren, Sicherheitsfixes in der [...]
Un gusto Dabo, después de tanto tiempo.
[...] being said, the latest security release of WordPress introduced one important change that, maybe, every plugin or theme developer should be aware of. [...]
[...] la última actualización de seguridad de Worpdress se ha añadido un importante cambio que, posiblemente los desarrolladores de themes o plugins deban [...]