Exploit en WordPress 2.1.3: Inyección SQL

Via la lista de correo wp-hackers, me entero de un nuevo exploit publicado en PacketStrom Security para el constantemente vulnerable WordPress. No hay muchos detalles técnicos de que hace el exploit, pero por lo que vi es una inyección SQL a través de wp-admin/admin-ajax.php para obtener el hash de la clave de los usuarios en wordpress.

A pesar de que las claves de los usuarios wordpress está ofuscadas (salted) no será mayor barrera descifrar la clave teniendo MD5 Hash. En teoría la única versión afectada es WordPress 2.1.3.

Hay un script publicado del exploit lo que facilita por mucho el trabajo de los script kiddies. Será mejor actualizarse a WordPress 2.2 por is las moscas.

Etiquetas: , , , , ,

Comments

10 responses to “Exploit en WordPress 2.1.3: Inyección SQL”

  1. Oscar Avatar

    Mejor fuera no publicar el script por los script kiddies, nunca falta quien se quiera hacer el gracioso

    Ah por cierto, OOOOOOTRA vulnerabilidad mas a wp, ya parece windows jeje

  2. Pablo Miranda Avatar

    ups, mañana sin falta actualizo los sitios que me faltan :S

  3. Javier Aroche Avatar

    Si cierto, sería mejor no publicarlo, que solo publiquen los detalles técnicos y ya los que saben de verdad, hacen su script 😛

    BTW: Los de wordpress quieren llamar la atención 😕

  4. Javier Aroche Avatar

    @Miranda: Igual yo, urge urge!!

  5. talishte Avatar

    solo le faltan los BSOD

  6. sirgt Avatar

    no convendra buscar alternativas (sigo de necio pero igual que M$ lo masificado es lo que la mara jode… hay q buscar algun script para blog q no usen muchos y que se vea gonito xD)

  7. Javier Aroche Avatar

    Yo usaría mi propio CMS pero tendría que integrar muchos plugins al motor, y ni hablar que hacer el back end me daría demasiada pereza, pero no creo que sea tan dificil xD y lo mejor es que me daría chance para optimizarlo hasta el bit 😀

    Talishte, esta no califica como BSOD?

  8. David Avatar

    WP Sucks!!!

  9. […] lo he vuelto a hacer, a pesar de los problemas, es por un fallo serio de seguridad, en la versión que tenía instalada, que hubiera podido obtener contraseñas de los […]

  10. anonimo Avatar

    sisi….los wordpress llaman la atencion pero sus CMS son imprecionantes..