Commenti a: Vulnerabilità in wordPress

Di: Wordpress Xss Vulnerability | Dario Salvelli's Blog

Wordpress Xss Vulnerability | Dario Salvelli's Blog — Tue, 29 Jun 2010 07:32:34 +0000

[...] blog di Michael Daw è rimbalzata in più blog la vulnerabilità sofferta dalle versioni di WordPress, nota piattaforma per la gestione [...]

Di: Implicazioni del Vivere

Implicazioni del Vivere — Sat, 24 Feb 2007 23:05:36 +0000

Tappata falla a WordPress…

Come segnalato da Andrea Beggi sul suo blog pare ci sia una vulnerabilità in WordPress 2.0.5 nel file /wp-admin/template.php e dicono di guardare qui per risolvere la cosa.
Ho provato a sostituire la riga 114 proposta nel link precedente al mio file e…

Di: Paolo Gatti

Paolo Gatti — Sat, 30 Dec 2006 01:31:15 +0000

Attenzione, così la vulnerabilità è risolta, ma, provando a selezionare dal menù di amministrazione Gestione e poi File, io mi ritrovo un bell’errore Fatal error: Call to undefined function attribute_escape() in /wp-admin/templates.php on line 114, perchè non trova la funzione attribute_escape().

Io ho risolto editando a mano il file templates.php e sostituendo la riga 114 (non posto qui il codice perchè si vedrebbe male, però potete trovarlo a questo link: http://www.paologatti.it/index.php/2006/12/30/vulnerabilita-in-wordpress-205/ )

Saluti

Di: blau

blau — Thu, 28 Dec 2006 22:23:53 +0000

In WP 2.0.x wp-admin/templates.php è accessibile solo da un utente con ruolo admin, a quanto vedo dalla documentazione di wordpress.
http://codex.wordpress.org/Roles_and_Capabilities

Se è così, per sfruttare questa vulnerabilità deve essere compromesso un account admin, cosa già grave anche senza XSS. Credo che aspetterò la 2.0.6 tranquillamente.

Di: googlando

googlando — Thu, 28 Dec 2006 14:42:39 +0000

naturalmente, Grazie!

Di: Andrea

Andrea — Thu, 28 Dec 2006 13:29:42 +0000

Enore, rinominare non fa mai male. Nel caso ci fossro problemi è più veloce tornare indietro. Cancellare se mai dopo una settimana.
A tutti: prego!

Di: Barbara

Barbara — Thu, 28 Dec 2006 13:17:44 +0000

Accidenti grazie mille della segnalazione

Di: WordPress Italy

WordPress Italy — Thu, 28 Dec 2006 12:38:44 +0000

Vulnerabilità WP…

Andre Beggi ci ha rapidamente preceduto nella segnalazione della soluzione al problema (dorme meno di me ).
La soluzione è immediatamente applicabile e WPIT l’ha già implementata con successo.
Riporto dal suo blog:
E’ stata rilevata una vul…

Di: enore savoia

enore savoia — Thu, 28 Dec 2006 12:04:28 +0000

@Andrea grazie per la immediata segnalazione della patch [file] volevo chiederti semplicemente come già fatto a Stefano di WP-Italia : visto che specifichi “rinominare il vecchio file” e uplodare il nuovo – è obbligatorio mantenerlo [il vecchio] o basta semplicemente sovrascriverlo ?
Grazie …

Di: Dalla

Dalla — Thu, 28 Dec 2006 09:46:55 +0000

Io sostituisco ma se poi vado sul file esce un errore sulla linea 114.

Di: Zelig

Zelig — Thu, 28 Dec 2006 09:04:15 +0000

Anch’io sono l’unico admin, ma ho aggiornato comunque, tanto è gratis!
Grazie per la segnalazione, Andrea.

Di: baldo

baldo — Wed, 27 Dec 2006 23:34:38 +0000

se sono l’unico amministratore del mio sito posso stare tranquillo?