Entries (RSS)

Post con el tag ‘‘ WordPress ’’

Jul 20

XSS en WordPress 2.8.1, Actualiza a WordPress 2.8.2 Publicada por DragoN en Noticias Seguridad .

Parece que Automattic, la empresa desarrolladora de WordPress ha tenido mucho trabajo últimamente con la rama 2.8.x de su producto, primero corrigieron un error en la versión 2.8 de WordPress, sacando la 2.8.1 y en menos de 15 dias ha salido esta nueva versión 2.8.2 que soluciona una vulnerabilidad XSS en los comentarios, haciendo posible que desde el panel de administración, un comentario especialmente diseñado, redirija al administrador a una url donde por ejemplo puedan robar sus cookies y acceder como administrador a nuestro panel.

WordPress 2.8.2 en Español

Leer el resto de la entrada »

Envíale este Articulo a Tus Amigos

Feb 10

Actualiza a WordPress 2.7.1 Publicada por DragoN en Seguridad Web .

Hace unas horas se publico la nueva versión 2.7.1 de WordPress, con la cual se da solución a 68 tickets que estaban pendientes,  es recomendable actualizar nuestra instalación de WordPress a esta nueva versión, ya sea descargándola y reemplazando los archivos o directamente desde ‘Herramientas>Actualizar’ del panel de administración.

Ene 8

WordPress 2.6.3 vulnerable a Cross Site Scripting Publicada por DragoN en Noticias Seguridad .

Vulnerabilidad en WordPress

Gracias a blogsecurity y a ayudawordpress me entero de una vulnerabilidad descubierta por Jeremias Reith en WordPress 2.6.3  que podría permitir a un atacante sin identificar acceder a tu blog.

El fallo se encuentra en la funcion “self_link() “del  archivo “wp-includes/feed.php” que al no validar correctamente los parametros de entrada permite realizar un ataque XSS con el que se pueden acceder a las cookies del usuario y obtener privilegios de administrador. Leer el resto de la entrada »

Dic 10

Descarga WordPress 2.7 con Manual Publicada por DragoN en Noticias Software .

WordPress 2.7 Manual

Después de varias betas y 2 relase candidates tenemos hoy la versión final de Wordpress 2.7, con grandes cambios principalmente en su diseño, les dejo un listado de sus cambios mas importantes.

Diseño / Navegación

  • Expandir/colapsar para ver la navegación
  • Esquema de color
  • Botón de minimizar la barra de menús con menús emergentes
  • Accesos directos de menú para añadir un nuevo post
  • Navegación principal en el lateral izquierdo
  • Nuevo diseño y organización

Leer el resto de la entrada »

Nov 25

Actualiza a WordPress 2.6.5 Publicada por DragoN en Noticias Software, Seguridad Web .

Mientras todos esperamos la versión 2.7 de WordPress, acaban de lanzar WordPress 2.6.5que corrige algunas correcciones de seguridad, recomendada su actualización:

  • Protección para un problema XSS muy difícil de explotar (#8291).
  • Solución de un problema XSS con los feeds Atom y RSS en algunas configuraciones de hosting ([9754], [9770]).
  • Se ha añadido una comprobación para el post_type correcto en blogger.editPost y blogger.deletePost (#8267).
  • Actualizaciones de update_post_meta() y delete_post_meta() para asegurar que funcionan correctamente con las revisiones de posts (#7925).

La lista completa de los cambios la encuentras en este enlace, como siempre puedes realizar una actualización completa a Wordpress 2.6.5 (descargando todo el sistema y reemplazando) o simplemente puedes bajar este paquete con las modificaciones de la version 2.6.3 a la 2.6.5 y listo.

Los archivos modificados fueron:

  • xmlrpc.php
  • wp-admin\users.php
  • wp-includes\feed.php
  • wp-includes\post.php
  • wp-includes\version.php

Todavía no se anuncia desde el panel de WordPress pero seguro pronto saldrá el aviso, se saltó la v2.6.4 para evitar confunsiones con el falso wordpress que estaba rodando por internet.

Descargar archivos modificados de la versión 2.6.3 a la 2.6.5
Descargar la versión 2.6.5 de WordPress
directorio SEO

Oct 24

Actualiza a WordPress 2.6.3 Publicada por DragoN en Seguridad Web .

Se ha detectado un error grave en la librería Snoopy utilizada por Wordpress y otros CMS que permite la ejecución remota de comandos shell usando la funcion exec() de php .

Es recomendable la actualización inmediata de tu instalación de WordPress, como siempre tienes 2 opciones hacer una reinstalación completa, o reemplazar los archivos 3 que modificaron de la versión 2.6.2 a la 2.6.3.

Los archivos modificados en esta versión fueron.

wp-admin\includes\media.php
wp-includes\class-snoopy.php
wp-includes\version.php

Descargar la versión 2.6.3 de WordPress
Descargar archivos modificados de la versión 2.6.2 a la 2.6.3

Sep 10

2 Problemas graves que se solucionan en WordPress 2.6.2 Publicada por DragoN en Noticias Seguridad .

La versión 2.6.2 de WordPress lanzada ayer,soluciona dos graves agujeros de seguridad que pueden afectar seriamente a cualquier blog que utilice este popular CMS y permita el registro libre de usuarios.

WordPress 2.6.2

Ryan Boren fue el encargado  de dar a conocer las 2 vulnerabilidades (SQL Column Truncation y mt_rand()) en el blog oficial de desarrollo de WordPress, el primero fallo, permite manipular las cuentas de usuario, cambiando su contraseña por otra generada “aleatoriamente”, la nueva contraseña no es visible pero aquí es donde pone su grano de arena el otro bug descubierto en la funcion mt_rand() por Boren ya que gracias a este el atacante puede identificar la nueva contraseña generada de forma “aleatoria”. Leer el resto de la entrada »

« Entradas anteriores
Siguientes entradas »

  • Acerca de…

    DragonJAR.org es una comunidad de investigadores, estudiantes, profesionales y entusiastas de la Seguridad Informática, En la cual se busca darle un enfoque eminentemente práctico a la teoría sin olvidar las bases esenciales de esta. De esta manera se Tratará de ofrecer soluciones útiles a los usuarios, tanto novatos, estudiantes, como a los profesionales e investigadores, Teniendo presente que el mundo de la seguridad informática y la información es un medio que se auto inventa constantemente.



  • Technology Top Technology blogs BlogESfera Directorio de Blogs Hispanos - Agrega tu Blog Hihera.com TopOfBlogs blog Galaxia Galaxia Linux