Vulnerabilidad en el plugin de Estadísticas de Wordpress.com

Alex Concha encontró una vulnerabilidad de inyección SQL en el plugin de Estadísticas de WordPress.com. Si están usando dicho plugin, es obligatorio descargar la nueva versión para evitar problemas.

Como el plugin solo funciona oficialmente para blogs con WordPress 2.1 y superior, los que tengan la versión no oficial para WordPress 2.0.x deberán hacer el parche a mano. El cambio realizado consiste en agregar una linea a la función stats_get_posts:

function stats_get_posts( $args ) {
	list( $post_ids ) = $args;

	$post_ids = array_map( 'intval', (array) $post_ids );
	$r = 'include=' . join(',', $post_ids);
	$posts = get_posts( $r );
	$_posts = array();

	foreach ( $post_ids as $post_id )
		$_posts[$post_id] = stats_get_post($post_id);

	return $_posts;
}

5 comments

  1. robertogt · July 29, 2007

    Javier disculpa mi ignorancia, pero eso solo aplica a los que tienen host propio verdad? o para todos? asi como yo que acabo de crear mi blog en wordpress también lo tendría que hacer o no? saludos!

  2. Javier Aroche · July 29, 2007

    En teoría afecto a todos, pero como en WordPress.com las actualizaciones las hacen ellos, ya estamos protegidos… solo quedan los de hosting propio que se actualicen.

  3. pablo bruno · July 30, 2007

    javier muchas gracias por la info ! dato importante !!!

  4. Pingback: Red Chapina de Blogs « TrollsChapines
  5. josekont · August 4, 2007

    Gracias Javier por la información, aunque yo no tengo hosting propio es bueno enterarse de estas cosas. Salu2!!

Comments are closed.