Una vulnerabilidad usando SQL injection en Wordpress puede comprometer los blogs que utilizan este CMS. Este exploit ha sido publicado por MilwOrm, permite el acceso sin autorización a la base de datos mediante la función wp.suggestCategories en el módulo xmlrpc.php. Este no filrta correctamente parámetros que envia el usuario permitiendo que los atacantes envien comandos a la base de datos para manipular los nombres y hash de contraseñas de los usuarios. El atacante solo tiene que autenticarse para utilizar este vulnerabilidadEsta vulnerabilidad es efectiva en la version 2.2, otras versiones no son afectadas.
publicado en: http://www.heise-security.co.uk
No hay comentarios.:
Publicar un comentario