Vulnerabilità in wordPress

A T T E N Z I O N E ! Questo post ha piu' di sei mesi. Le informazioni contenute potrebbero non essere aggiornate.

E’ stata rilevata una vulnerabilità in WordPress, il consiglio è di sostituire al più presto il file templates.php in /wp-admin.
Il problema è descritto qui, e il file con il fix si scarica da qui.
E’ sufficiente rinominare il file “vecchio” e uploadare il nuovo.

“A vulnerability in WordPress’s templates.php allows a user with access to the templates.php to insert arbitrary HTML and/or Javascript which can be then executed by other administrators.”

Grazie a Giorgio.

Aggiornamento: era evidente che la vulnerabilità è limitata ai casi in cui chi accede al file abbia privilegi elevati, era scritto nella descrizione dell’errore. Di vulnerabilità si tratta comunque. Quello che non era evidente da subito è che il nuovo file causa un errore in Manage –> Files. Non me ne sono accorto perché non ho avuto esigenza di modificare nulla.
Ma non me ne sarei accorto comunque poiché solitamente uso FTP; per questo ho deciso di lasciare comunque il file aggiornato.
Ricambio il ringraziamento a Steve.

12 pensieri riguardo “Vulnerabilità in wordPress

  1. @Andrea grazie per la immediata segnalazione della patch [file] volevo chiederti semplicemente come già fatto a Stefano di WP-Italia : visto che specifichi “rinominare il vecchio file” e uplodare il nuovo – è obbligatorio mantenerlo [il vecchio] o basta semplicemente sovrascriverlo ?
    Grazie … 😀

  2. Pingback: WordPress Italy
  3. Attenzione, così la vulnerabilità è risolta, ma, provando a selezionare dal menù di amministrazione Gestione e poi File, io mi ritrovo un bell’errore Fatal error: Call to undefined function attribute_escape() in /wp-admin/templates.php on line 114, perchè non trova la funzione attribute_escape().

    Io ho risolto editando a mano il file templates.php e sostituendo la riga 114 (non posto qui il codice perchè si vedrebbe male, però potete trovarlo a questo link: http://www.paologatti.it/index.php/2006/12/30/vulnerabilita-in-wordpress-205/ )

    Saluti

I commenti sono chiusi