Wordpress (en su última versión, 2.0.2, y probablemente en las anteriores) es susceptible a la inyección y ejecución de código PHP arbitrario si está disponible el libre registro de usuarios.

Mientras no existe parche hay que desactivar el registro de usuarios o bien limitar (con un .htaccess) el acceso a los directorios users y userlogin dentro de wp-content/cache.

El descubridor ha publicado un exploit que inyecta código en la caché y crea un fichero llamado suntzu.php, que es una puerta trasera al sistema.

Fuente: kriptopolis

No habra nuevos registros hasta que salga el parche, por seguridad.

Reacciones blogosféricas a este post | Stumble it!

Si eres nuevo por aqui, puedes subscribirte a mi Feed RSS. Gracias por la visita!


Esta entrada fue escrita el 29 de Mayo de 2006 a las 6:29 pm y categorizado en CMS, Internet, Seguridad, WordPress. Puedes seguir los comentarios de esta entradad a traves de este feed RSS 2.0. Puedes dejar un comentario, o hacer trackback desde tu propio sitio.