Un nuevo error en wordpress ha salido, todas las versiones de wordpress desde la 1.5 hasta la 2.3.1 son vulnerables a un error con las cookies.
Como lo explica Steven J. Murdoch basta con que el atacante tenga acceso a la lectura de la tabla tabla wp_user de la base de datos (mediante inyección SQL, por ejemplo) para que pueda generar una cookie de autenticación válida para cualquier cuenta, incluida la del administrador…
Murdoch afirma que existen más debilidades en el manejo de cookies y contraseñas por Wordpress, como que estas últimas se almacenan sin utilizar ningún valor de salt y que las cookies carecen de fecha de caducidad.
Este dia me di cuenta que desde ayer estan anunciando que la nueva version de firefox y anteriores tienen un error en los archivos JAR.
Dado a ese error el atacante puede a usar XSS para obtener datos para entrar en tus cuentas de google.
Por ejemplo al cargar una direccion como esta
jar:http://servidor.com/archivo.jar!/imagenes/loquesea.jpg
Firefox descargara un archivo jar y despues extrae el archivo lo quesea en la pc del cliente.
Ahora pondre un pedazo extraido de la pagina de shadowsecurity para que miren una explicacion de como este afecta a los usuarios de cuentas google.
(more…)
El dia de ahora en el blog de torresx, me he dado cuenta que hay un nuevo error en Wordpress y afecta la nueva version 2.3.1.
Para mas detalles pueden visitar este link.
Este dia viendo el blog de Kriptopolis me di cuenta que Wordpress en su nueva version ya tiene un bug.
El error afecta el Blogroll, y el intruso puede poner mucho spam en el blogroll, el nuevo wordpress 2.3 duro casi 25 dias sin que se le detectara una vulnerabilidad, pero como siempre ya se le encontro xD.
Aun no hay una solucion para el error, pero esperamos que salga pronto, aqui encontraran un poco de informacion de el error.
UPDATE: aqui esta el link para el parche a ese error
