Exploit en Wordpress 2.1.3: Inyección SQL

Via la lista de correo wp-hackers, me entero de un nuevo exploit publicado en PacketStrom Security para el constantemente vulnerable WordPress. No hay muchos detalles técnicos de que hace el exploit, pero por lo que vi es una inyección SQL a través de wp-admin/admin-ajax.php para obtener el hash de la clave de los usuarios en wordpress.

A pesar de que las claves de los usuarios wordpress está ofuscadas (salted) no será mayor barrera descifrar la clave teniendo MD5 Hash. En teoría la única versión afectada es WordPress 2.1.3.

Hay un script publicado del exploit lo que facilita por mucho el trabajo de los script kiddies. Será mejor actualizarse a WordPress 2.2 por is las moscas.

Etiquetas: , , , , ,

10 comments

  1. Oscar · May 22, 2007

    Mejor fuera no publicar el script por los script kiddies, nunca falta quien se quiera hacer el gracioso

    Ah por cierto, OOOOOOTRA vulnerabilidad mas a wp, ya parece windows jeje

  2. Pablo Miranda · May 22, 2007

    ups, mañana sin falta actualizo los sitios que me faltan :S

  3. Javier Aroche · May 22, 2007

    Si cierto, sería mejor no publicarlo, que solo publiquen los detalles técnicos y ya los que saben de verdad, hacen su script 😛

    BTW: Los de wordpress quieren llamar la atención 😕

  4. Javier Aroche · May 22, 2007

    @Miranda: Igual yo, urge urge!!

  5. talishte · May 22, 2007

    solo le faltan los BSOD

  6. sirgt · May 22, 2007

    no convendra buscar alternativas (sigo de necio pero igual que M$ lo masificado es lo que la mara jode… hay q buscar algun script para blog q no usen muchos y que se vea gonito xD)

  7. Javier Aroche · May 22, 2007

    Yo usaría mi propio CMS pero tendría que integrar muchos plugins al motor, y ni hablar que hacer el back end me daría demasiada pereza, pero no creo que sea tan dificil xD y lo mejor es que me daría chance para optimizarlo hasta el bit 😀

    Talishte, esta no califica como BSOD?

  8. David · May 22, 2007

    WP Sucks!!!

  9. Pingback: Los Melón - » Problemas temporales...
  10. anonimo · July 14, 2007

    sisi….los wordpress llaman la atencion pero sus CMS son imprecionantes..

Comments are closed.