El sistema de gestión de contenidos WordPress utilizado sobre todos para blogs y desarrollado en PHP y MYSQL, tiene un problema de seguridad XSS o Site Cross Scripting.
Parece ser que las los valores de la variable “PHP_SELF” no se vacía correctamente antes de mostrarse al usuario por lo que puede emplearse para ejecutar HTML arbitrario y código script en el navegador del usuario.

La vulnerabilidad está corregida sólo en las versiones 2.0.10-RC2 y 2.1.3-RC2 que pueden ser descargadas desde l a página oficial http://wordpress.org/download/

El XSS o Site Cross Scripting es el ataque basado en la explotación de vulnerabilidades del sistema de validación de HTML incrustado debido a que normalmente no se valida correctamente. Esta vulnerabilidad puede estar presente de forma directa localizando puntos débiles en la programación de los filtros como (foros, mensajes de error) o indirectamente en (redirecciones, framesets) con la que podemos introducir comandos javascript solo modificando una URL.

Para saber más sobre Site Cross Scripting:

• XSS Cheat Sheet
• XSS FAQ

(No hay votos)

 Loading ...