Alex Concha encontró una vulnerabilidad de inyección SQL en el plugin de Estadísticas de javieraroche.com/. Si están usando dicho plugin, es obligatorio descargar la nueva versión para evitar problemas.
Como el plugin solo funciona oficialmente para blogs con WordPress 2.1 y superior, los que tengan la versión no oficial para WordPress 2.0.x deberán hacer el parche a mano. El cambio realizado consiste en agregar una linea a la función stats_get_posts:
function stats_get_posts( $args ) {
list( $post_ids ) = $args;
$post_ids = array_map( 'intval', (array) $post_ids );
$r = 'include=' . join(',', $post_ids);
$posts = get_posts( $r );
$_posts = array();
foreach ( $post_ids as $post_id )
$_posts[$post_id] = stats_get_post($post_id);
return $_posts;
}
Comments
5 responses to “Vulnerabilidad en el plugin de Estadísticas de WordPress.com”
Javier disculpa mi ignorancia, pero eso solo aplica a los que tienen host propio verdad? o para todos? asi como yo que acabo de crear mi blog en wordpress también lo tendría que hacer o no? saludos!
En teoría afecto a todos, pero como en WordPress.com las actualizaciones las hacen ellos, ya estamos protegidos… solo quedan los de hosting propio que se actualicen.
javier muchas gracias por la info ! dato importante !!!
[…] Vulnerabilidad en el plugin de Estadísticas de WordPress.com […]
Gracias Javier por la información, aunque yo no tengo hosting propio es bueno enterarse de estas cosas. Salu2!!