Exploit en WordPress permite añadir enlaces al blogroll
Publicado el Jueves 18 de Octubre del 2007 @ 3:11 por Armonth.
Parece ser que un par de usuarios han reportado un fallo que está siendo utilizado para llenar de SPAM la lista de enlaces (blogroll) de sus blogs con WordPress 2.3 y anteriores.
El fallo (ticket 4627) no tengo claro cómo pero parece ser que se intenta acceder y al no tener permisos se rechaza (con wp_nonce) pero con una redirección 302 + nonce el “bot” consigue finalmente añadir el enlace…
De todas formas el fallo “no es grave” pero puede ser muy jugoso para los spammers y perjudicar la reputación de los sitios (junto a su posicionamiento).
Ya hay un changeset para WordPress 2.3 que modifica el fichero wp-admin/link.php para corregir el problema y del cual podéis bajar directamente el fichero link.php.
Mire usted por donde, alguna ventaja tenía no usar blogrolls.
9 Comentarios (feed)
-
Minimal nos comenta:
Que pesadez con los bugs, exploits y pericos de los palotes. ReDios, cada 2 por 3 pasa algo con wordpress.
Bueno, gracias por avisar :)
-
alex nos comenta:
El exploit sólo funciona si el atacante tiene un usuario válido y no representa ningún problema para los que tenemos el registro de usuarios deshabilitado.
-
g30rg3_x nos comenta:
Como siempre BlogSecurity esparciendo el FUD.
-
Sergio nos comenta:
Gracias armonth, siempre ayudando!
-
Armonth nos comenta:
Alex: gracias por el dato, yo tenía la duda de ya que unos dicen que sí y otros que no :\
g30rg3_x: ¿acaso he dicho que lo haya leído en Blogsecurity (de haber sido así hubiera puesto enlace)? Normalmente si no cito fuente es por ser de emails y/o esos emails no ser de bloggers (al menos reconocidos) o si no quieren ser mencionados…
Aunque como tengo retraso de feeds todavía no he leído mucha cosa… he mirado el feed de blogsecurity y sólo decir que (a) su solución no arregla nada ya que hay que modificar más cosas que 3 líneas de código y (b) no veo que tiene de FUD ya que el problema existe ¿o es por tratarlo como “el primer bug de WP 2.3″?. Estoy algo espeso así que a lo mejor se me escapa algo y más si tenemos en cuenta que el sentido de la ironía en inglés no lo capto…
Puestos a ello, buscando por WP 2.3 en las entradas no leídas veo que la de Kriptopolis es mucho más crítica (aunque yo no me pongo ni de los que niegan los problemas existentes en WP o “fanboys” ni en el otro lado)…
-
g30rg3_x nos comenta:
Tranquilo Armonth…
La critica fue directamente hacia BlogSecurity (el que como siempre origino el caos con una nota escueta y llena de malas interpretaciones) nunca hacia SigT, hasta que no veas que diga “Como siempre Armonth esparciendo el FUD” no te la tomes tu XDDD.Respondiendo solo para punto B (por que los demas no tienen sentido, ya que solito te los respondes) respondamos cada punto del FUD…
Miedo: Esparce una noticia sobre una vulnerabilidad que se esta explotando a disestra y siniestra.
/* Algo que obviamente es totalmente erroneo, solo son un grupo de casos pequeños de gente que les paso */Incertidumbre: Nunca explica las condiciones de explotacion para que sea efectiva la misma.
/* En ningun momento lei que digieron que se necesita que el atacante tenga acceso como suscriptor para explotarla */Duda: Es acaso esta la primera vulnerabilidad de WP 2.3?
/* No, la primera vulnerabilidad de “seguridad” fue relacionada hacia el consumo de memoria y procesamiento causados por hacer busquedas pesadas con muchisimos tags (que alexander concha descubrio) que podria causar una denegacion del servicio hacia el sitio y en algunos casos tirar todo el servidor.*/Como siempre tengo que aclarar que por favor no mal interpretes mis comentarios, yo suelo atacar directo (cuando estoy en modo troll), la critica fue directo hacia BlogSecurity (que como no se si leiste tambien los critique nuevamente en mi nota relacionada con wordpress y la (in)seguridad).
Va kriptopolis lo que hace es solo promocionar drupal, asi como la gente que odia WP hacen el mismo spam pero con su CMS de preferencia, yo he visto pocos argumentos validos contra de este, pocos pero muy poco argumentos que me hagan pensar en seriamente mudarme de WP.Saludos
PD: Madre mia, para la proxima me ahorro mis comentarios para mi blog XDD -
Armonth nos comenta:
Ok g30rg3_x, simplemente aclarar porque da a entender que me he informado (y replicado) el mismo FUD.
Por otro lado, sí, me acuerdo del “fallo” de memoria (lo reporté por aquí) y mientras que éste es molesto ése sí que era preocupante: tirar webs con URLs al menos para mí lo es… sin embargo ése bug no tuvo mucha difusión frente a éste exploit… a lo mejor debería ser un poco más polémico “adrede” }:P
Sobre eso, de Blogsecurity que criticaste lo leí, te doy buena parte de razón: sirven para enterarte de que hay fallos, que “pueden ser graves” y que para enterarte “bien” hay que irse a otras fuentes xDDDD
¿Kriptopolis promocionando Drupal? No sé de que me extraña xD. Aunque estoy de acuerdo con su autor en que el ciclo de WP me parece un poco heavy… no me acaba de gustar pero me salva el que mantengan la 2.0.x.
En mi opinión deberían plantearse un tiempo de estabilización (quizá para la 2.6) rollo 6 meses de “congelamiento” para mejorar rendimiento, afinar las características, modularizar, etcétera…
Sobre el PD… sí, suele pasarme ;)
-
corsaria nos comenta:
Esa es la clave Héctor. Wordpress no espera nada antes de lanzar nuevas versiones y así pasa lo que pasa. Deberían tener, sino 6 meses al menos 3 para testear y poder corregir posibles errores. Pero… tal como hacen ahora tienen miles de betatesters de forma voluntaria… jejeje.
La otra opción es hacer versiones estables, no se si la 2.0.x lo es. Y luego quien quiera “jugársela” que pruebe con las versiones ultimísimas. xD
La gente si se actualiza tan alegremente es por el miedo a que su versión instalada sea vulnerable. Y aparte por eso de la “ultimitis” (querer estar siempre a la última).
Si supiese que lo que tienen instalado es estable, no vulnerable, o no tanto como las últimas versiones, dudo mucho que nadie se meta en el berenjenal de actualizar, para que al poco, salgan nuevos problemas.
:-)
-
Armonth nos comenta:
Corsaria sobre tu duda… “dentro de lo que cabe” la 2.0.x estable lo es: no se le añaden nuevas características y ya lleva varias revisiones…