jueves, 28 de marzo de 2013

Decubierto fallo de seguridad en plugin de Wordpress


Si dispones de un blog Wordpress ya sea através del sistema web oficial o por el hospedaje en tu propia NAS (Qnap y Synology te ofrecen esa posibilidad) quizás debas saber que se ha detectado un fallo de seguridad en el plugin WP Banners Lite de este sistema y que afecta a las versiones 1.29, 1.31 y 1.40 (no influye la versión de Wordpress sobre la que esté implementado).


WP Banners Lite es muy utilizado como herramienta fácil y práctica para la inserción de banners de publicidad en los sitios web y blogs montados sobre este sistema, y este exploit descubierto provoca que un atacante pueda inyectar su propio código Javascript o HMTL aprovechándose de un problema a la hora de filtrar una variable llamada "cid" localizada en el archivo wpbanners_show.php, concretamente en las líneas 8 y 9, y que se produce tras una petición HTTP GET.

Este exploit fue descubierto por Fernando A. Lagos quien decidió publicarlo tras avisar al desarrollador del plugin de este fallo y no obtener respuesta alguna. La versión 1.40 es la más reciente que hay a fecha de hoy del plugin.

0 comentarios:

Publicar un comentario

Share

Twitter Delicious Facebook Digg Stumbleupon Favorites More