Blogantivirus es un blog de informacion sobre seguridad informática, os recomendamos visitar la secciones de antiespias, antivirus y antispam
Logotipo de blogantivirus.com




Cursos en www.aprendemas.com
¿Necesitas formación?
Cursos
Master
MBA

Plugins vulnerables en WordPress

Vulnerabilidades

Recientemente se conocieron los 4 ganadores del concurso sobre plugins para WordPress, organizado por el sitio Weblog Tools Collection.

Sin embargo, muy poco tiempo después del anuncio, ya han detectado vulnerabilidades en todos ellos. En palabras del analista, vemos las graves fallas que poseen:

  • WordPress Automatic Upgrade: Permite a cualquier usuario no autenticado: Generar y descargar los archivos de WordPress (incluye wp-config.php). Generar y descargar una copia de seguridad de la base de datos donde está instalado el plugin. Activar/Desactivar todos los plugins. Actualizar la versión de WordPress.
  • OneClick: Al ser vulnerable a CSRF, permite descargar plugins — o código malicioso — desde cualquier URL.
  • Who Sees Ads: Es vulnerable a CSRF y XSS.
  • MyDashboard: Es vulnerable a CSRF y XSS.

Lo peor del asunto no sólo es que dichos scripts hayan sido premiados sin chequear su nivel de seguridad, sino que hasta el propio creador de WordPress -Matt Mullenweg-, también lo haya pasado por alto.

Fuente: BuayaCorp

por Mauro Borione 27.08.07 @ 11:17 pm |

Relacionados

WordPress: Programar plugins seguros
Versiones RC de Wordpress, una manera de combatir la inseguridad
WordPress 2.0.10 y 2.1.3


No hay comentarios
Dejar un comentario (comentarios moderados)

RSS feed de los comentarios de esta noticia


Dejar un comentario (comentarios moderados)
Líneas y saltos de párrafo automáticos, el correo-e no se mostrará, HTML permitido: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <code> <em> <i> <strike> <strong>

(required)

(required)







Tu dirección de correo:

Funciona con FeedBurner