Andrea Beggi

Chiacchierare di nubi.

Vulnerabilità in wordPress

A T T E N Z I O N E ! Questo post ha piu' di sei mesi. Le informazioni contenute potrebbero non essere aggiornate.

E’ stata rilevata una vulnerabilità in WordPress, il consiglio è di sostituire al più presto il file templates.php in /wp-admin.
Il problema è descritto qui, e il file con il fix si scarica da qui.
E’ sufficiente rinominare il file “vecchio” e uploadare il nuovo.

“A vulnerability in WordPress’s templates.php allows a user with access to the templates.php to insert arbitrary HTML and/or Javascript which can be then executed by other administrators.”

Grazie a Giorgio.

Aggiornamento: era evidente che la vulnerabilità è limitata ai casi in cui chi accede al file abbia privilegi elevati, era scritto nella descrizione dell’errore. Di vulnerabilità si tratta comunque. Quello che non era evidente da subito è che il nuovo file causa un errore in Manage –> Files. Non me ne sono accorto perché non ho avuto esigenza di modificare nulla.
Ma non me ne sarei accorto comunque poiché solitamente uso FTP; per questo ho deciso di lasciare comunque il file aggiornato.
Ricambio il ringraziamento a Steve.

12 Commenti

baldo | #

se sono l’unico amministratore del mio sito posso stare tranquillo?

Zelig | #

Anch’io sono l’unico admin, ma ho aggiornato comunque, tanto è gratis! 🙂
Grazie per la segnalazione, Andrea.

Dalla | #

Io sostituisco ma se poi vado sul file esce un errore sulla linea 114.

enore savoia | #

@Andrea grazie per la immediata segnalazione della patch [file] volevo chiederti semplicemente come già fatto a Stefano di WP-Italia : visto che specifichi “rinominare il vecchio file” e uplodare il nuovo – è obbligatorio mantenerlo [il vecchio] o basta semplicemente sovrascriverlo ?
Grazie … 😀

Barbara | #

Accidenti grazie mille della segnalazione

Andrea | #

Enore, rinominare non fa mai male. Nel caso ci fossro problemi è più veloce tornare indietro. Cancellare se mai dopo una settimana.
A tutti: prego!

googlando | #

naturalmente, Grazie!

blau | #

In WP 2.0.x wp-admin/templates.php è accessibile solo da un utente con ruolo admin, a quanto vedo dalla documentazione di wordpress.
http://codex.wordpress.org/Roles_and_Capabilities

Se è così, per sfruttare questa vulnerabilità deve essere compromesso un account admin, cosa già grave anche senza XSS. Credo che aspetterò la 2.0.6 tranquillamente.

Paolo Gatti | #

Attenzione, così la vulnerabilità è risolta, ma, provando a selezionare dal menù di amministrazione Gestione e poi File, io mi ritrovo un bell’errore Fatal error: Call to undefined function attribute_escape() in /wp-admin/templates.php on line 114, perchè non trova la funzione attribute_escape().

Io ho risolto editando a mano il file templates.php e sostituendo la riga 114 (non posto qui il codice perchè si vedrebbe male, però potete trovarlo a questo link: http://www.paologatti.it/index.php/2006/12/30/vulnerabilita-in-wordpress-205/ )

Saluti