Si todavía usáis la versión 2.3 de WordPress toca actualizar a la última 2.3.1 ya que a la lista de fallos que han ido saliendo (uno de los más grave comentado por aquí) acaban de informar de otro fallo XSS.
En esta ocasión se trata de un fallo en el fichero
wp-admin/edit-post-rows.php que si tenemos habilitado la opción
register_globals de PHP (nadie debería tenerla pero por desgracia
suele estarlo en alojamientos compartidos) permite introducir código,
una prueba de concepto sería:
http://dominio.tld/wp-admin/edit-post-rows.php?posts_columns[]=
El fallo sólo afecta a la versión 2.3 pero no a la 2.3.1 ni a la última versión de la rama anterior (2.2.3).
Comentarios